La semana pasada, en el blog Malwarebytes Labs, examinamos los crecientes problemas de las ciudades inteligentes , nos sumergimos profundamente en la inteligencia artificial , abordamos Radiohead y analizamos las lecciones aprendidas de Chernobyl en relación con la infraestructura crítica . También exploramos un nuevo ataque de phish de Steam y separamos un cryptominer de Mac .

Otras noticias de ciberseguridad.

• Florida City recurre al ransomware: el Ayuntamiento de Riviera Beach acuerda pagar $ 600,000 para recuperar el uso de computadoras secuestradas . (Fuente: Forbes)
• La advertencia de virus de Smart TV se pierde: un peculiar mensaje promocional de advertencia sobre los   peligros que representan los televisores inteligentes desaparece . ¿Pero por qué? (Fuente: El Registro)
• Las cámaras Nest usadas permiten el acceso continuo a la cámara: esto se ha corregido, pero sigue leyendo para ver qué sucede en el reino de IoT cuando los dispositivos antiguos se conectan de la forma en que preferirías que no lo hicieran . (Fuente: Wirecutter)
• Los perfiles falsos en LinkedIn van a espiar: una historia interesante de estafadores que utilizan imágenes de perfil generadas por AI para hacer que sus cuentas falsas se vean un poco más creíbles . (fuente: seguridad desnuda)
• Bella Thorne lucha contra los extorsionadores: la actriz decidió compartir fotografías robadas de sí misma para enseñarle una lección a un hacker. (Fuente: Hollywood Reporter)
• Este phish es un fanático de la encriptación: una nueva estafa reclama que un mensaje encriptado está esperando, pero es necesario iniciar sesión para poder verlo . (Fuente: Bleeping Computer)
• Problemas con las aplicaciones móviles: abundan las vulnerabilidades de alto riesgo tanto en aplicaciones iOS como en Android . (Fuente: Help Net Security)
• Twitter toma cuentas patrocinadas por el estado: la plataforma de redes sociales eliminó alrededor de 5,000 cuentas que se utilizan para impulsar la propaganda . (Fuente: Infosecurity Magazine)
• El malware llega a Google 2FA: un nuevo ataque hace todo lo posible por evitar las restricciones de seguridad adicionales . (Fuente: We Live Security)
• Un agujero de seguridad en uno: el malware móvil intenta deslizar numerosas piezas de información personal . (Fuente: SC Magazine)

Durante el fin de semana, recibí este mensaje no solicitado de un conocido en Steam:

1 juego gratis para nuevos usuarios! 
Tome el juego que desee https://t.co/{redacted}

Afortunadamente, otros amigos en Steam fueron rápidos en advertir públicamente a otros acerca de las cuentas potencialmente hackeadas, enviando mensajes dudosos a cualquier persona (si no a todos) en su red. Estuve leyendo estas horas de advertencia antes de recibir una muestra del mensaje de spam en mi propia cuenta.

Una búsqueda en línea superficial revela que esta campaña ha estado ocurriendo desde mediados de marzo de este año. Debido a que es bastante bajo perfil, no muchos fueron capaces de profundizar en él. Intentaremos hacer eso aquí.

La última campaña de phishing de Steam: un recorrido

Los usuarios de Steam tuvieron razón al señalar que esta URL acortada efectivamente redirige a un dominio de phishing, pero no de inmediato.

Al hacer clic en el enlace t.co , que es una URL abreviada de Twitter, en el chat se lleva a los usuarios al sitio que hay detrás: steamredirect [punto] divertido . Este es el dominio de re-director que lleva a los usuarios a la página de phishing «adecuada», que pretende ser un sitio donde se pueden ganar juegos gratis.

En el medio del sitio se encuentra la sección «Pruebe su suerte», un juego de ruleta donde los usuarios pueden obtener su (supuesto) juego gratuito. Todo lo que tienen que hacer es presionar el botón azul Play.

Luego, la página le muestra al usuario que tiene menos de 30 minutos para reclamar la clave completa al iniciar sesión en su cuenta de Steam a través del sitio web. Al mismo tiempo, la página también muestra que el usuario tendría que esperar 24 horas antes de poder rodar la ruleta nuevamente y obtener otro juego gratuito.

Al hacer clic en el botón Iniciar sesión a través de Steam aquí, o en la esquina superior derecha del sitio, se abre una página que se parece a la página de inicio de sesión de Steam de terceros no afiliada estándar. Esto es como una ventana emergente o una nueva pestaña. El sitio hizo ambas cosas durante varias pruebas.

Aquí hay algunas razones por las que, en este punto, los usuarios de Steam deberían comenzar a considerar abandonar todos los sitios y no entregar sus credenciales:

• Los enlaces en la página, como «Configuración de privacidad del perfil» y «crear una cuenta» no funcionan.

• La barra de direcciones URL está en blanco. Los sitios legítimos de terceros no afiliados muestran un certificado EV para Valve Corp, y la URL en la barra de direcciones indica que el inicio de sesión se realiza en steamcommunity.com .

• El cuadro desplegable Idioma en la esquina superior derecha no funciona. También parece estar en ruso, incluso cuando los visitantes están fuera de Rusia.

El suministro de credenciales a esta página de phishing, como sabemos, hará que las cuentas sean secuestradas para que proliferen aún más los enlaces de phishing.

Los enlaces en campañas idénticas en el pasado no estaban ocultos detrás de un acortador de URL. Tampoco es de extrañar que estos enlaces siguieran cambiando. En este caso, las URL acortadas se han redirigido a los siguientes dominios, que tienen menos de cuatro meses, en algún momento:

• easyk3y [punto] com
• ezzkeys [punto] com
• g4meroll.com
• g4me5.com
• gift4keys [punto] com
• gifts-key [punto] com
• ong4me [punto] com
• tf2details [punto] com
• yes-key [punto] com

Tenga en cuenta que algunos de estos sitios aún están en línea, y si los visita, todos se verán así:

Al momento de escribir este artículo, la única forma de acceder a la página real de «juegos gratis de ruleta» que hemos estado mostrando anteriormente es agregando ciertas cadenas al final de las URL. Eso es probablemente una buena cosa.

Mantén la calma y mantente alerta

Steam siempre ha sido la plataforma elegida por los estafadores durante mucho tiempo debido a sus millones de usuarios activos. Esta no es la primera vez que los usuarios se conocen y reaccionan ante una campaña de phishing. De hecho, este último tiene todos los signos reveladores de campañas anteriores: Steam friend envía un mensaje con un enlace de la nada, el enlace conduce a una página de inicio de sesión de Steam falsa, las credenciales de Steam recopiladas se utilizan para secuestrar cuentas y enviar correos electrónicos falsos a sus amigos.

Sí, todavía hay usuarios de Steam que se enamoran de viejos trucos. Sin embargo, también es bueno ver a los usuarios de Steam darse cuenta del peligro desde el principio, avisar a sus amigos y, si sospechan que están afectados, intente contener sus cuentas zombi para evitar que otros usuarios se pongan en peligro.

Así que mantén la calma, mantente alerta, mantente informado y continúa cuidándonos unos a otros.

No todo está bien en la tierra de la planificación de ciudades inteligentes, ya que el último gran desarrollo planificado de la empresa hermana de Google, Sidewalk Labs, sigue teniendo problemas en Toronto, Canadá.

¿Una oleada de apoyo?

Al parecer, construir una ciudad «desde cero» ya no es una cosa: al menos algunas personas con una mano en el diseño urbano digital están diciendo que ahora «Desde Internet hasta». El plan era tomar la línea de costa de Toronto y transformarla en una innovadora ubicación de ciudad inteligente. Sidewalk Labs consiguió el contrato para diseñar una gran parte de la línea de costa de Toronto en 2017, con potencial de expansión.

La nueva tecnología y un ojo para el diseño ecológico deberían haber sido la guinda del pastel. En cambio, las continuas demoras en revelar lo que está sucediendo están llevando a quejas y grupos de protesta como Block Sidewalk que no están contentos con la dirección que tomaron las cosas.

Un bache en el camino

Resulta que planificar algo como una ciudad inteligente es increíblemente complicado, y las cosas parecen estar retrasándose . Peor aún, nadie parece poder decirle a los residentes exactamente lo que viene en este nuevo mundo de conexión digital. Sidewalk Labs de Google desea probar y establecer un «Estándar global» para la forma en que deben tratarse los datos de los usuarios , pero aún no hay información real disponible sobre cómo funcionará esto en la práctica.

Curiosamente, las preocupaciones sobre la privacidad de los datos ahora están principalmente en primer plano , ya que los grandes críticos de la tecnología influyen. No es divertido cuando su proyecto está en el extremo receptor de comentarios como «Un experimento de colonización en el capitalismo de vigilancia» o «… una visión distópica. eso no tiene cabida en una sociedad democrática «, especialmente si su objetivo principal era construir algunas casas con paneles de madera y un sistema de drenaje funcional.

Varias renuncias del panel asesor e incluso del ex comisionado de privacidad de Ontario, que dicen: «Me imaginé que creamos una ciudad inteligente de privacidad en lugar de una ciudad inteligente de vigilancia» definitivamente no ha ayudado a suavizar las preocupaciones.

El significante claro es que la compra temprana es crucial para que uno de estos proyectos despegue. Sin una afirmación temprana de lo que se puede esperar, las personas se esforzarán y dirán que no, independientemente de lo que se ofrezca.

Puebla, en el centro-este de México, es un buen ejemplo de esto. Tienen 15 ubicaciones programadas para convertirse en ciudades inteligentes. Santa Maria Tonantzintla se ha negado esencialmente a ir más allá después de la falta de información sobre lo que viene a continuación. La demolición de algunos puntos de referencia locales ciertamente no ayudó en nada . Me hubiera vinculado al proyecto de 15 ciudades, pero el sitio web está fuera de línea, lo que puede o no ser muy importante para este tipo de empresa.

¿Qué es una ciudad inteligente?

Buena pregunta, y una que podemos dar por sentado. Definir una ciudad inteligente puede ser un ejercicio de frustración , pero los expertos los consideran como uno de dos sabores distintos: de arriba hacia abajo y de abajo hacia arriba .

De arriba hacia abajo ciudades inteligentes

Estos son proyectos importantes que se unen a través de una combinación de gobiernos, ayuntamientos y grandes proveedores de tecnología. Idealmente, una ciudad entera se construye desde la nada, con la tecnología esencial necesaria para que todo funcione correctamente desde el principio.

Alguien, en algún lugar, se encuentra al estilo Mago de Oz con un gran banco de control que garantiza que todos los aspectos de la vida cotidiana funcionen a la perfección, desde la recolección de basura y el alumbrado público hasta la gestión del flujo de tráfico y el uso de energía.

Así es como se desarrolla en un mundo ideal sin tener que preocuparse de que las cosas vayan mal, de todos modos. Como verás en breve, las cosas tienden a ir mal un poco. Por ahora, veamos el siguiente estilo de ciudad inteligente.

De abajo hacia arriba ciudades inteligentes

Esto es lo que las personas que viven en una ciudad se levantan cuando las dejan en sus propios dispositivos (probablemente no pretendan hacer un juego de palabras). Crowdfunders, crowdsourcing, pequeñas organizaciones disruptivas que trabajan con comunidades para hacer que las cosas funcionen de manera más eficiente; Todo está aquí, y es tan caótico como te imaginas.

Juntando el rompecabezas

Por supuesto, generalmente es difícil abofetear a una ciudad desde cero y llegar a casa a tiempo para la cena; la mayoría de nuestros pueblos y ciudades ya están aquí con nosotros. Lo que más tenemos es un conjunto aleatorio de enfoques liderados por el consejo y atornillados a infraestructuras que se desmoronan, mientras que las aplicaciones independientes y los proyectos comunitarios hacen lo suyo. Los residentes están, en general, atrapados en medio de este flujo y reflujo, y nunca hay una garantía real de que todo funcione como se espera.

Chanchullos ciudad inteligente

A pesar de sus mejores esfuerzos, los proyectos pueden y se encuentran en situaciones problemáticas. Muchos de ellos ni siquiera están estrictamente relacionados con la seguridad; Es probable que sea más propenso a ser víctima de negligencia o mala planificación. Aun así, el resultado final sigue siendo el mismo, ya sea que alguien haya pirateado el Gibson o no, y un problema seguirá causando dolores de cabeza. A continuación, observamos algunos problemas que enfrentan los estilos superior e inferior de smart city.

Problemas de ciudad inteligente

1) En el Reino Unido, Westminster tuvo problemas cuando la empresa que administraba las luces de la calle de la ciudad fue administrada. Sin nadie en la rueda de la bombilla, los residentes se sorprendieron al encontrar que unas 8,000 luces de la calle se disparaban las 24 horas del día, los 7 días de la semana, durante toda una semana . El consejo local tuvo que pagar una «pequeña tarifa» a los nuevos administradores de la empresa para resolver los problemas.

Si bien usted pensaría que un plan de contingencia estaría en su lugar para la explosión del contrato a este nivel, de alguna manera terminó siendo perdido. Nadie quiere irse a la cama con bombillas inteligentes, por lo general, mucho más brillantes que entran por la ventana, sin mencionar el consumo de energía / el impacto ambiental. Un ejemplo simple pero efectivo de cómo a veces de arriba hacia abajo se equivoca.

2) ¿Qué pasaría si la identidad de todo un barrio desapareciera de los mapas en línea en la medida en que su invisibilidad basada en datos significara que nunca podría encontrarla ? Eso es exactamente lo que le sucedió a la comunidad de Fruit Belt, también conocida como «Medical Park», cortesía de los datos erróneos no solo del Ayuntamiento, sino también de una variedad de empresas de mapeo, organizaciones tecnológicas y agentes de datos.

La lucha de los residentes para reclamar tanto el nombre como el reconocimiento de la ubicación como un espacio físico es algo bastante. Al igual que con Westminster y sus luces 24/7, vemos otra situación en la que las empresas difuntas dejan problemas imprevistos a su paso sin que nadie juegue a limpiar.

3) También existe la amenaza de hacks en un sistema de arriba hacia abajo; controlar el centro, controlar la ciudad . Dispositivos expuestos, contraseñas predeterminadas, vulnerabilidades y fallas críticas, todo listo y esperando que alguien venga y se aproveche. Esperas que se rompa una luz de la calle o que estalle una tubería. Lo que no espera es que las personas manipulen los sistemas de alerta temprana o las señales de tráfico que muestran mensajes aleatorios .

4) Siguiendo con el mismo tema, el proyecto Securing Smart Cities ha hecho mucho trabajo en esta área , que busca formas en que las empresas, los gobiernos, los medios de comunicación y más puedan trabajar juntos para abordar estas inquietudes. Entre otras cosas, han realizado una investigación inteligente sobre cómo los sistemas de CCTV pueden ser un peligro de algo que suena tan banal como no cubrir las etiquetas. También han explicado cómo los malos actores podrían escalar los ataques (por ejemplo) para eliminar los acondicionadores de aire en varias calles o en un radio aún mayor con la ayuda de unos $ 50 equipos. Puede que no parezca un gran problema, pero en un clima caluroso podría ser potencialmente letal para los enfermos o ancianos.

5) Los residentes de Hong Kong que protestaban por la ley de extracción propuesta optaron por evitar usar sus tarjetas de Metro para viajar por temor a ser rastreados por el gobierno . En cambio, optaron por pagos en efectivo como los turistas tienden a hacer. Esta información se ha utilizado en el pasado para hacer cumplir la ley, por lo que uno puede entender su aprensión. En un lugar donde incluso la publicidad se ha usado para nombrar y avergonzar a las camadas de la basura a través del ADN , esto plantea preguntas potentes acerca de dónde, exactamente, se encuentra el poder cuando gran parte de nuestra vida cotidiana es un capricho de los sistemas de arriba hacia abajo.

De abajo hacia arriba problemas de la ciudad inteligente

1) El rastreo en la era de la tecnología inteligente es algo que la gente está naturalmente preocupada. Cuando miré la simulación de pirateo NITE Team 4 , mencioné el seguimiento del teléfono de alguien a través de vallas publicitarias inteligentes. Me sorprendió particularmente que apareciera en un videojuego, porque es un concepto que supuestamente no existe, pero no parece real, pero sí lo es.

¿Vagando por las calles, paseando en un auto, caminando por algunas tiendas? Si su Wi-Fi está habilitado, es muy posible que esté siendo rastreado con fines de marketing .

2) ¿Qué sucede cuando su propietario y / o complejo de edificios decide que ha llegado el momento de que todos reciban cerraduras inteligentes, ya sea que las quieran o no ? El caos es lo que sucede. No todos son fanáticos de tomar el control de las funciones básicas como la seguridad de las instalaciones lejos del residente, y hay múltiples razones convincentes para no tenerlas instaladas.

Caso en cuestión: ¿Qué pasa si hay posibles problemas de seguridad? ¿Qué pasa si se corta la corriente mientras hay un incendio en el apartamento? ¿Qué pasa si las cerraduras dejan de funcionar mientras estás dormido? ¿Quién tiene acceso a los datos? Antes de que te des cuenta, todo se ha vuelto un poco legal y algunas personas en trajes probablemente gritan mucho.

3) Por supuesto, no podemos continuar sin el desorden cada vez mayor que es la tecnología de hogares inteligentes y el caso de IoT y los casos de abuso doméstico . Es un ejemplo escalofriante de lo que puede salir mal con demasiadas tecnologías aleatorias que se combinan en la configuración del mundo real con un actor malicioso en el medio.

Muy a menudo, no hay ninguna posibilidad de que la persona maltratada sea capaz de descubrir dónde están sucediendo las malas tecnologías, y puede ser un desafío para los expertos en tecnología que están familiarizados con estos problemas encontrar un punto de partida decente para su investigación.

Castillos de arena en el mar

Estamos arañando la superficie aquí, pero hay mucho que ver en lo que respecta a la construcción de una ciudad inteligente, ya sea liderada por el gobierno o la gente que lo haga por sí misma . También hay algunas historias de gran éxito en el mundo de las ciudades inteligentes: no todos son desastres, farolas rotas y señales de tránsito que gritan sobre los brotes de zombis.

Por ejemplo, Bristol en el Reino Unido viene a la mente como un gran ejemplo de cómo reconstruir una ciudad de una manera que tenga sentido . Sin embargo, aún queda un largo camino por recorrer antes de que tengamos otras ciudades inteligentes para competir con Bristol, y eso probablemente se aplique al proyecto de la ribera de Toronto, un tanto asediado.

A medida que estos proyectos avanzan, las cuestiones de datos, privacidad y consentimiento parecen ser los lugares donde se dibujan las líneas de batalla principales. Sin algunas respuestas sólidas en su lugar, los generales pueden verse expulsados ​​de la ciudad por una comunidad alegremente sin tecnología.

Este mes, una historia de ransomware ha estado haciendo muchas olas: el ataque a las redes de la ciudad de Baltimore . Este ataque ha estado recibiendo más presión de lo normal, lo que podría deberse a las acciones tomadas (o no tomadas) por el gobierno de la ciudad, así como a los rumores sobre el mecanismo de infección por ransomware.

En cualquier caso, la historia de Baltimore nos inspiró a investigar otras ciudades en los Estados Unidos, identificando cuáles han tenido la mayor cantidad de detecciones de ransomware este año. Si bien identificamos numerosas ciudades cuyas organizaciones tenían graves problemas de ransomware, Baltimore, y ninguno de los otros ataques a ciudades de alto perfil, como Atlanta o Greenville, no fue una de ellas. Esto sigue una tendencia de aumentar las infecciones por ransomware en las redes organizativas que hemos estado observando desde hace un tiempo .

Para frenar esto, estamos brindando a nuestros lectores una guía sobre cómo no solo evitar ser atacados con ransomware, sino también lidiar con las consecuencias del ransomware. Básicamente, esta es una guía sobre cómo no ser el próximo Baltimore. Si bien muchos de estos ataques están dirigidos, los ciberdelincuentes son oportunistas: si ven que una organización tiene vulnerabilidades, se abalanzarán y causarán el mayor daño posible. Y el ransomware es tan dañino como puede ser.

Ataque de Baltimore ransomware

A partir de hoy, los servidores de la ciudad de Baltimore aún no funcionan. El ataque original ocurrió el 7 de mayo de 2019 , y tan pronto como ocurrió, la ciudad cerró numerosos servidores en sus redes para mantenerlos a salvo de la posible propagación del ransomware.

El ransomware que infectó a Baltimore se llama RobinHood o, a veces, RobinHood ransomware. Cuando se descubrió una nota de rescate, exigió un pago de $ 100,000 o aproximadamente 13 Bitcoins. Al igual que otros ransomware, venía con un temporizador, que exigía que las víctimas pagaran en una fecha determinada, o el costo de la recuperación de archivos aumentaría en $ 10,000 por día.

RobinHood ransomware es una nueva familia de malware, pero ya se ha hecho un nombre para infectar a otras redes de la ciudad, como lo hizo para la Ciudad de Greenville . Según un informe del New York Times, algunos investigadores de malware han afirmado que el exploit filtrado por la NSA EternalBlue está involucrado en el proceso de infección, sin embargo, el análisis de Vitali Kremez en Sentinel One no muestra ningún signo de actividad de EternalBlue. Más bien, el método de propagación del ransomware de un sistema a otro implica la manipulación de la herramienta PsExec .

Este no es el primer ataque cibernético con el que Baltimore ha lidiado recientemente. De hecho, el año pasado sus sistemas de despacho del 911 fueron comprometidos por los atacantes , dejando a los despachadores usando lápiz y papel para realizar su trabajo. Algunos puntos de venta han culpado al diseño de red históricamente ineficiente de la ciudad a los Jefes de Información (CIO) anteriores, de los cuales ha habido muchos. Dos de sus CIOs renunciaron solo en esta década en medio de acusaciones de fraude y violaciones éticas.

Tendencias

Aparte de Baltimore, el ransomware dirigido a organizaciones ha estado activo en los Estados Unidos durante los últimos seis meses, con brotes periódicos y picos masivos que representan un nuevo enfoque para la infección corporativa de los ciberdelincuentes.

El siguiente mapa de calor muestra un efecto compuesto de las detecciones de ransomware en organizaciones en todo el país desde principios de 2019 hasta ahora.

Las áreas principales de detección de cargas pesadas incluyen regiones alrededor de ciudades más grandes, por ejemplo, Los Ángeles y Nueva York, pero también vemos detecciones pesadas en áreas menos pobladas. El siguiente diagrama ilustra aún más esta tendencia: la profundidad de color representa la cantidad de detección general para el estado, mientras que el tamaño de los círculos rojos representa la cantidad de detecciones para varias ciudades. Cuanto más profundo es el color, más detecciones contiene el estado. Cuanto mayor sea el círculo, mayor será el número de detecciones en la ciudad.

Cuando observamos con mayor profundidad e identificamos las 10 ciudades principales en 2019 (hasta ahora) con detecciones de ransomware pesados, vemos que ninguna de ellas incluye ciudades sobre las que hemos leído en las noticias recientemente. Esta tendencia apoya la teoría de que no es necesario estar rodeado de víctimas de ransomware para convertirse en uno.

Dondequiera que el ransomware decida aparecer, aprovechará la infraestructura débil, los problemas de configuración y los usuarios ignorantes para entrar en la red. El ransomware se está convirtiendo en un arma más común para alojarse contra las empresas que en años anteriores. La siguiente tabla expresa el aumento masivo de detecciones de ransomware que vimos a principios de año.

Enero y febrero son brillantes ejemplos del tipo de fuerte empuje que vimos de familias como Troldesh a principios de año. Sin embargo, si bien parece que el ransomware se está extinguiendo después de marzo, pensamos más en ello como los criminales que toman un respiro. Cuando profundizamos en las tendencias semanales, podemos ver picos específicos que se debieron a fuertes detecciones de familias específicas de ransomware.

A diferencia de lo que hemos observado en el pasado con el ransomware centrado en el consumidor, donde se lanzó una amplia red y observamos una constante constante de detecciones, el ransomware se centró en los ataques del mundo corporativo en pulsos cortos. Estos pueden deberse a que ciertos marcos de tiempo son los mejores para atacar a las organizaciones, o puede ser el tiempo requerido para planear un ataque contra usuarios corporativos, lo que requiere la recopilación de correos electrónicos corporativos e información de contacto antes del lanzamiento.

En cualquier caso, la actividad de ransomware en 2019 ya alcanzó un número récord, y aunque solo hemos visto algunos picos en los últimos meses, puede considerar estos baches en la carretera entre dos grandes paredes. Simplemente no hemos golpeado la segunda pared todavía.

Observaciones

A pesar de un aumento en el ransomware que apunta a las redes de organizaciones, las redes de ciudades que han sido afectadas por el ransomware no aparecen en nuestra lista de las principales ciudades infectadas. Esto nos lleva a creer que los ataques de ransomware en la infraestructura de la ciudad, como lo que estamos viendo en Baltimore, no se producen debido a brotes generalizados, sino que son específicos y oportunistas.

De hecho, la mayoría de estos ataques se deben a vulnerabilidades, brechas en la seguridad operativa y una infraestructura débil en general descubierta y explotada por los ciberdelincuentes. A menudo, se afianzan en la organización mediante la captura de empleados en campañas de phishing e infectando puntos finales o teniendo la suficiente confianza como para lanzar una campaña de phishing contra objetivos de alto perfil en la organización.

También siempre se debe tener en cuenta las configuraciones erróneas, la actualización lenta o la aplicación de parches, e incluso las amenazas internas que son la causa de algunos de estos ataques. Los investigadores de seguridad y los funcionarios de la ciudad aún no tienen una respuesta concreta sobre cómo RobinHood infectó los sistemas de Baltimore en primer lugar.

Evitación

Hay varias respuestas a la pregunta, » ¿Cómo puedo vencer el ransomware? ”Y desafortunadamente, ninguno de ellos aplica el 100 por ciento del tiempo. Los delincuentes cibernéticos pasaron la mayor parte del 2018 experimentando con nuevos métodos para romper las defensas con ransomware, y parece que están poniendo a prueba esas experimentaciones en 2019. Incluso si las organizaciones siguen «todas las reglas», siempre hay nuevas oportunidades para infección. Sin embargo, hay maneras de adelantarse al juego y evitar los peores escenarios. Aquí hay cuatro áreas que deben tenerse en cuenta al intentar planificar los ataques de ransomware:

Parches

Si bien dijimos que EternalBlue probablemente no participó en la propagación del ransomware RobinHood, ha sido utilizado por otras familias de ransomware y malware en el pasado. Con este fin, los sistemas de parches se están volviendo cada vez más importantes, ya que los desarrolladores no solo están corrigiendo errores de usabilidad o añadiendo nuevas funciones, sino que están llenando los huecos que pueden ser explotados por los malos.

Si bien la aplicación de parches rápidamente no siempre es posible en una red empresarial, es necesario identificar qué parches se requieren para evitar un posible desastre y desplegarlos en un ámbito limitado (como en los sistemas más vulnerables o que contienen datos altamente prioritarios). En la mayoría de los casos, los parches de inventario y auditoría deben completarse, independientemente de si el parche se puede extender a través de la organización o no.

Actualizaciones

Durante los últimos siete años, muchos desarrolladores de software, incluidos los de sistemas operativos, han creado herramientas para ayudar a combatir el delito informático dentro de sus propios productos. Estas herramientas a menudo no se ofrecen como una actualización del software existente, pero se incluyen en versiones actualizadas. Windows 10, por ejemplo, tiene capacidades antimalware integradas en el sistema operativo, lo que lo convierte en un objetivo más difícil para los ciberdelincuentes que Windows XP o Windows 7. Observe qué software y sistemas están llegando al final de su ciclo de desarrollo. . Si una organización los ha eliminado del soporte, entonces es una buena idea buscar la actualización del software por completo.

Además de los sistemas operativos, es importante al menos considerar y probar una actualización de otros recursos en la red. Esto incluye varias herramientas de nivel empresarial, como plataformas de colaboración y comunicación, servicios en la nube y, en algunos casos, hardware .

Email

Hoy en día, los ataques por correo electrónico son el método más común de propagación de malware, ya sea mediante el uso de ataques de phishing generalizados que engañan a quienes puedan o los ataques de phishing especialmente diseñados, en los que se engaña a un objetivo en particular.

Por lo tanto, hay tres áreas en las que las organizaciones pueden enfocarse cuando se trata de evitar las infecciones por ransomware o cualquier tipo de malware. Esto incluye herramientas de protección de correo electrónico, capacitación de concienciación sobre seguridad y educación del usuario , y bloqueo posterior a la ejecución de correo electrónico.

Existen numerosas herramientas que proporcionan seguridad adicional y posible identificación de amenazas para los servidores de correo electrónico. Estas herramientas reducen la cantidad de posibles correos electrónicos de ataque que recibirán sus empleados, sin embargo, pueden ralentizar el envío y la recepción de correos electrónicos debido a que comprueban todo el correo que entra y sale de la red.

Sin embargo, la educación del usuario implica enseñar a sus usuarios cómo es un ataque de phishing . Los empleados deben poder identificar una amenaza basada en la apariencia en lugar de la funcionalidad y, al menos, saber qué hacer si se encuentran con un correo electrónico de este tipo. Indique a los usuarios que reenvíen correos electrónicos sospechosos a los equipos de seguridad o de TI internos para investigar más a fondo la amenaza.

Finalmente, el uso de software de seguridad de punto final bloqueará muchos intentos de infección por correo electrónico, incluso si el usuario termina abriendo un archivo adjunto malicioso. La solución de punto final más efectiva debe incluir tecnología que bloquee los exploits y los scripts maliciosos, así como la protección en tiempo real contra sitios web maliciosos. Si bien algunas familias de ransomware tienen descifradores disponibles que ayudan a las organizaciones a recuperar sus archivos, la reparación de los ataques exitosos de ransomware rara vez devuelve datos perdidos.

Seguir los consejos anteriores proporcionará una mejor capa de defensa contra los métodos principales de infección hoy en día, y puede ayudar a su organización a repeler los ataques cibernéticos más allá del ransomware.

Preparación

Obviamente, ser capaz de evitar la infección en primer lugar es preferible para las organizaciones, sin embargo, como se mencionó anteriormente, muchos actores de amenazas desarrollan nuevos vectores de ataque para penetrar las defensas de las empresas. Esto significa que no solo debe establecer una protección para evitar una violación, sino que debe preparar su entorno para una infección que se contagiará.

La preparación de su organización para un ataque de ransomware no debe tratarse como un «si» sino como un «cuándo» si espera que sea útil.

Para ese fin, aquí hay cuatro pasos para preparar a su organización para el «cuándo» experimenta un ataque de ransomware.

Paso 1: Identificar datos valiosos

Muchas organizaciones segmentan su acceso a los datos según la necesidad requerida. Esto se denomina compartimentación, y significa que ninguna entidad individual dentro de la organización puede acceder a todos los datos. Para ello, necesita compartimentar sus datos y cómo se almacenan con el mismo espíritu. El objetivo de hacer esto es mantener los datos más valiosos (y el mayor problema si se pierden) segmentados de los sistemas, las bases de datos o los usuarios que no necesitan acceder a estos datos de manera regular, lo que hace más difícil que los delincuentes roben o Modificar dichos datos.

La información de identificación personal , la propiedad intelectual y la información financiera de los clientes son tres tipos de datos que deben identificarse y segmentarse del resto de su red. ¿Para qué necesita Larry, el pasante, acceso a los datos del cliente? ¿Por qué la fórmula secreta para el producto que vende en el mismo servidor que los cumpleaños de los empleados?

Paso 2: Segmentar esos datos

Si es necesario, debe desplegar servidores o bases de datos adicionales que pueda colocar detrás de capas adicionales de seguridad, ya sea otro cortafuegos, autenticación multifactor o simplemente limitando la cantidad de usuarios que pueden tener acceso. Aquí es donde los datos identificados en el paso anterior van a vivir. 

Dependiendo de sus necesidades operativas, es posible que deba acceder a algunos de estos datos más que a otros y, en ese caso, debe configurar su seguridad para tenerla en cuenta, de lo contrario, podría dañar la eficiencia operativa más allá del punto donde corre el riesgo. vale la recompensa

Algunos consejos generales sobre la segmentación de datos:

• Mantenga el sistema con estos datos lejos de la Internet abierta.
• Requerir requisitos de inicio de sesión adicionales, como una autenticación VPN o multifactor para acceder a los datos
• Debe haber una lista de sistemas y qué usuarios tienen acceso a los datos de qué sistemas. Si un sistema es violado de alguna manera, ahí es donde empiezas.
• Si tiene el tiempo y los recursos, despliegue un servidor que apenas tenga protección, agregue datos que parezcan legítimos pero que, en realidad, sean falsos, y asegúrese de que sean vulnerables y fáciles de identificar por un atacante. En algunos casos, los delincuentes tomarán el fruto de poca importancia y se irán, asegurando que sus datos valiosos reales permanezcan intactos.       

Paso 3: Copia de seguridad de datos

Ahora sus datos se han segmentado según la importancia que tienen, y están detrás de una capa de seguridad mayor que antes. El siguiente paso es identificar y priorizar una vez más los datos importantes para determinar cuánto de ellos se puede hacer una copia de seguridad (es de esperar que todos los datos importantes, si no todos los datos de la compañía). Hay algunas cosas a tener en cuenta al decidir qué herramientas usar para establecer una copia de seguridad segura:

• ¿Es necesario actualizar estos datos con frecuencia?
• ¿Es necesario que estos datos permanezcan en mi seguridad física?
• ¿Qué tan rápido necesito poder realizar una copia de seguridad de mis datos?
• ¿Qué tan fácil debería ser acceder a mis copias de seguridad?

Cuando pueda responder estas preguntas, podrá determinar qué tipo de solución de almacenamiento a largo plazo necesita. Hay tres opciones: en línea, local y fuera del sitio.

En línea

El uso de una solución de respaldo en línea probablemente sea lo más rápido y fácil para sus empleados y / o personal de TI. Puede acceder desde cualquier lugar, usar la autenticación de múltiples factores y estar tranquilo sabiendo que está asegurado por personas que protegen los datos para ganarse la vida. La copia de seguridad puede ser rápida e indolora con este método, sin embargo, los datos están fuera del control físico de la organización y, si se viola el servicio de copia de seguridad, eso podría comprometer sus datos.

En general, las soluciones de respaldo en línea probablemente sean la mejor opción para la mayoría de las organizaciones, debido a lo fácil que son para configurar y utilizar.

Local

Tal vez su organización requiere copias de seguridad de almacenamiento local. Este proceso puede variar desde increíblemente molesto y difícil a super fácil e inseguro.

El almacenamiento local le permite almacenar sin conexión, pero en el sitio, manteniendo una presencia de seguridad física. Sin embargo, está limitado por su personal, recursos y espacio sobre cómo puede establecer una operación de respaldo localmente. Además, los datos operativos que deben utilizarse diariamente pueden no ser candidatos para este tipo de método de copia de seguridad.

Fuera del sitio

Nuestra última opción es almacenar datos en discos duros o cintas extraíbles y luego guardarlos en un lugar externo. Esto podría ser preferible si los datos son especialmente sensibles y deben mantenerse alejados de la ubicación en la que se crearon o usaron. El almacenamiento externo asegurará que sus datos estén seguros si el edificio explota o es allanado, pero el proceso puede ser lento y tedioso. Tampoco es probable que utilice este método para datos operativos que requieren acceso y copias de seguridad regulares.

Las copias de seguridad externas solo son necesarias en casos de almacenamiento de información extremadamente confidencial, como secretos del gobierno, o si los datos deben mantenerse y conservarse para los registros, pero no se requiere acceso regular.                                              

Paso 4: Crea un plan de aislamiento

Nuestro último paso para preparar a su organización para un ataque de ransomware es saber exactamente cómo aislará un sistema infectado. La velocidad y el método en que lo hace podría salvar los datos de toda la organización de una infección de ransomware que se propaga activamente.

Un buen plan de aislamiento tiene en cuenta tantos factores como sea posible:

• ¿Qué sistemas se pueden aislar rápidamente y cuáles necesitan más tiempo (p. Ej., Puntos finales frente a servidores)?
• ¿Se puede aislar el sistema local o remotamente?
• ¿Tienes acceso físico?
• ¿Qué tan rápido puedes aislar los sistemas conectados al infectado?

Hágase estas preguntas sobre cada sistema en su red. Si la respuesta a la rapidez con la que puede aislar un sistema «no es lo suficientemente rápida», entonces es hora de considerar la reconfiguración de su red para acelerar el proceso.

Afortunadamente, existen herramientas que brindan a los administradores de red la capacidad de aislar remotamente un sistema una vez que se detecta una infección. Invertir tiempo y recursos para garantizar que tenga un plan efectivo para proteger los otros sistemas en su red es primordial con el tipo de amenazas que vemos hoy.

Resiliencia ransomware

Como hemos cubierto, ha habido un gran aumento en el ransomware centrado en la organización en 2019 y esperamos ver más picos en los próximos meses, pero no necesariamente en las ciudades que podría esperar. La realidad es que las grandes ciudades principales afectadas por el ransomware conforman solo algunos de los cientos de ataques de ransomware que se producen todos los días contra organizaciones de todo el país.

Los ciberdelincuentes no obedecerán las reglas sobre cómo realizar los ataques. De hecho, están constantemente buscando nuevas oportunidades, especialmente en lugares donde los equipos de seguridad no están cubriendo activamente. Por lo tanto, gastar todos sus recursos en medidas de evitación va a dejar a su organización en un mal lugar. 

Tomarse el tiempo para establecer un plan para cuando sea atacado y construir sus redes, políticas y cultura en torno a ese concepto de resiliencia evitará que su organización se convierta en otro titular.

Cuando las personas toman la decisión de ponerse en forma, tienen que dedicar el tiempo y la energía para hacerlo. Ir al gimnasio una vez no lo va a cortar. Lo mismo ocurre cuando se trata de cambiar la cultura de una organización . Para ser efectivo en cambiar el comportamiento de los empleados, la capacitación debe ser continua y relevante.

La tecnología está evolucionando rápidamente. Cada vez más, las nuevas soluciones son capaces de defender mejor la empresa contra actores maliciosos desde dentro y desde fuera, pero las herramientas por sí solas no pueden proteger contra los ataques cibernéticos.

El informe de investigación de violaciones de datos de 2019 (DBIR) de Verizon encontró que:

Si bien la piratería y el código malicioso pueden ser las palabras que más resuenan entre las personas cuando se utiliza el término «violación de datos», existen otras categorías de acción de amenazas que han existido por mucho más tiempo y aún son ubicuas. La ingeniería social, junto con el uso indebido, el error y lo físico, no se basan en la existencia de la cibernética.

En resumen, la gente importa. La educación de los empleados importa.

El enfoque tecnológico para asegurar la empresa ha comenzado a desmoronarse en la última década, según Lance Spitzner, director de investigación y comunidad del Instituto SANS. “El desafío al que nos enfrentamos es que siempre hemos percibido la ciberseguridad como un problema técnico. Los malos usan la tecnología para atacar la tecnología, así que concentrémonos en usar la tecnología para asegurar la tecnología «, dijo Spitzner.

Cada vez más, las organizaciones han llegado a comprender que también tenemos que abordar el problema humano. Los hallazgos del DBIR de este año son evidencia de que el comportamiento humano es un problema para la seguridad de la empresa. Según el informe:

• El 33 por ciento de las violaciones de datos incluyeron ataques sociales.
• 21 por ciento resultó de errores en eventos casuales
• El 15 por ciento de las infracciones se debió a un uso incorrecto por parte de usuarios autorizados.
• El 32 por ciento de las violaciones involucradas al phishing.
• El 29 por ciento de las violaciones involucró el uso de credenciales robadas

Llamando a todos los interesados

Algunas organizaciones aún están implementando el anticuado entrenamiento anual por computadora y se preguntan por qué su programa de conciencia de seguridad no está funcionando. A pesar de que el equipo de seguridad entiende que deben hacer más, crear un programa efectivo de educación para empleados requiere la participación de una variedad de diferentes partes interesadas, dijo Perry Carpenter, evangelista jefe y oficial de estrategia de KnowBe4 y autor de Transformational Security Awareness: Qué neurocientíficos, narradores de historias y los especialistas en marketing pueden enseñarnos sobre cómo conducir conductas seguras .

“Si se quedan estancados una vez al año, tienen que encontrar una manera de justificar el cambio, por lo que hay algunas ventas que tienen que hacer a su equipo ejecutivo para obtener soporte para comunicaciones más frecuentes y más presupuesto. Esencialmente es el toque más alto que tienen que vender «, dijo Carpenter.

Incluso aquellas organizaciones que no tienen el presupuesto para utilizar un proveedor externo pueden encontrar formas de crear contenido atractivo, lo que significa que los equipos de seguridad tienen la tarea de tener que justificar la necesidad de un mayor compromiso de los empleados.

Una forma de vender esa necesidad, según Carpenter, es aprovechar el efecto psicológico conocido como la decadencia del conocimiento. “Vamos a algo y dos días después, olvidamos la mayor parte del contenido. Cuanto más nos alejamos de él, más irrelevante, desconectado e invisible se vuelve «.

La evidencia muestra que una mayor frecuencia de educación sobre seguridad es el primer paso hacia la creación de un programa de concientización más atractivo. «En todas las cosas que haces, estás fortaleciendo o permitiendo la atrofia», dijo Carpenter.

Una vez que tenga la participación para poder hacer crecer realmente el programa de concienciación de seguridad de la empresa, debe descubrir cómo conectarse con las personas. Es por eso que Carpenter es un fanático de un enfoque de marketing que utiliza varios canales.

Dado que algunas personas aprenden mejor visualmente, mientras que otras prefieren la instrucción en persona, la identificación de los formularios de contenido más atractivos para los diferentes empleados informará los tipos de capacitación necesarios para que el programa tenga éxito.

No más muerte por PowerPoint

Los antiguos programas de capacitación basados ​​en computadoras desarrollados por auditores han hecho poco para defender a la empresa contra los sofisticados ataques de phishing. Si quiere que la gente se preocupe por la seguridad, necesita construir un puente entre la tecnología y la gente.

A veces, aquellos que tienen una alta habilidad técnica no son expertos en comunicarse con las personas. «Tradicionalmente, algunos de los mayores bloqueadores de los programas de concientización eran personas de seguridad que creían que si el contenido no era técnico no era seguridad», dijo Spitzner.

Ahora, los profesionales de la seguridad están comenzando a darse cuenta de que los empleados responden de manera diferente a una variedad de vectores de ataque, por lo que Omer Taran, cofundador y CTO de CyberReady dijo que recopilar y analizar datos de rendimiento en tiempo real es crucial para crear una mejor educación de sensibilización programa.

«Los ‘planes de tratamiento’ especialmente diseñados deben incluir una frecuencia ajustada, recordatorios oportunos, simulaciones personalizadas y contenido de capacitación que ayude a reformar este grupo particularmente susceptible», dijo Taran.

Empoderar a los empleados

Para que las empresas se mantengan un paso por delante de los ciberdelincuentes, los programas de educación de sus empleados deben ser atractivos. Es por eso que construir una cultura consciente de la seguridad es uno de los pasos más importantes que puede tomar la organización.

“Los procesos y las políticas están bien, pero si no está ganando los corazones y las mentes y no está ganando la aceptación de los empleados, es probable que no se inicie. A los malos no les importa lo bien escritas que estén sus políticas, o incluso si tiene alguna «, dijo Lisa Plaggemier, evangelista jefe de Infosec.

También es importante no jugar el juego de la culpa. Más bien, dijo Plaggemier, «capacitar a los empleados con campañas de concientización y capacitación de buena calidad, que se realizan a través de un programa que influye en el comportamiento»

Para que la protección contra fraudes cibernéticos y el fraude sean partes clave de la cultura de su empresa, Plaggemier recomendó que los líderes y gerentes consideren estos consejos:

• Sé un ejemplo. Los líderes tienen la capacidad de cambiar actitudes, creencias y, en última instancia, el comportamiento de los empleados. Si los líderes están tomando atajos de seguridad que ponen a la compañía en riesgo, los empleados no creerán que la compañía tome en serio todo lo posible para mantener un lugar de trabajo seguro.

• Ser claro Donde la confusión puede crear una cultura de comportamientos reactivos en lugar de proactivos, la claridad ayuda a priorizar el trabajo. Deje en claro que proteger a la empresa es una prioridad principal al crear políticas escritas y tener procesos y procedimientos claros establecidos.

• Ser repetitivo . La repetición es clave para inculcar buenos hábitos de seguridad en sus empleados. Los seres humanos crean nuevos hábitos a lo largo del tiempo al repetir sus acciones. Aliente a los empleados a realizar esas tareas fuera de lo común, como llamar a un proveedor para confirmar que realmente le pide que cambie su cuenta de «pago a», se convierta en rutina.

• Sea positivo . El miedo, la incertidumbre y la duda no son buenos motivadores. En su lugar, utilice un lenguaje que empodere a sus empleados. Haga que las personas sientan que son importantes en la información que comparte con ellos para que puedan ser mejores, más inteligentes y más confiados en sus decisiones cuando se enfrentan a algo potencialmente malicioso

La semana pasada, Malwarebytes Labs revisó kits de explotación activos y únicos dirigidos a consumidores y empresas por igual, informó sobre una falla en WhatsApp utilizada para atacar a un abogado de derechos humanos y escribió sobre un importante parche de Microsoft que tenía como objetivo evitar un ataque de «nivel WannaCry». También perfilamos el ransomware Dharma, Daka CrySIS, e impartimos cuatro lecciones del ataque DDoS contra el Departamento de Energía de los Estados Unidos que interrumpió las operaciones principales.

Otras noticias de ciberseguridad.

• Las agencias de seguridad cibernética de Canadá y Arabia Saudita emitieron avisos sobre grupos de piratería que explotan activamente las vulnerabilidades del servidor Microsoft SharePoint para obtener acceso a empresas privadas y redes gubernamentales. Un parche diferente para la falla, que fue designado oficialmente como CVE-2019-0604 , ya estaba disponible a partir de febrero de este año. (Fuente: ZDNet)
• Los diferentes actores detrás del adware se esfuerzan por ser legítimos, o al menos buscan la parte. Una de las formas en que intentaron hacer esto fue un descubrimiento reciente de una pseudo-VPN llamada Pirate Chick VPN en un paquete de adware. Sin embargo, el software es en realidad un troyano que impulsa el malware, en particular el ladrón de información de AZORult. (Fuente: Bleeping Computer)
• El intercambio de SIM , el acto fraudulento de convencer a un operador de telefonía móvil para que intercambie el número de teléfono de un objetivo a una tarjeta SIM de propiedad del criminal, se duplicó en Sudáfrica. Esta estafa se usa para desviar tokens de SMS entrantes utilizados en cuentas habilitadas para 2FA. (Fuente: BusinessTech)
• Los ataques de ransomware en ciudades de Estados Unidos están en alza . Hasta el momento, ha habido 22 ataques conocidos este año. (Fuente: ABC Action News)
• Según un informe de The Citizen Lab, Typosquatting está de vuelta en el radar e imita a los principales sitios web nuevos en línea para publicar noticias falsas o informes de desinformación . Algunos de los sitios copiados fueron Politico, Bloomberg y The Atlantic. El grupo detrás de esta campaña es Endless Mayfly, una «cadena de suministro de desinformación» iraní. (Fuente: The Citizen Lab)
• No es de extrañar aquí: los investigadores de la Universidad Carlos III de Madrid (Universidad Carlos III de Madrid) y la Universidad Stony Brook de los Estados Unidos descubrieron que los teléfonos inteligentes Android están plagados de software informático , lo que crea riesgos de privacidad y seguridad ocultos para los usuarios. (Fuente: Blog de seguridad desnuda de Sophos)
• De acuerdo con una encuesta, las organizaciones que utilizan la nube para almacenar PII estaban considerando volver a los medios locales para almacenar datos debido a preocupaciones de seguridad de la nube. (Fuente: Netwrix)
• La Oficina del Comisionado de Información de Australia (OAIC, por sus siglas en inglés) publicó recientemente un informe sobre sus hallazgos sobre violaciones en la atención médica , que sigue siendo un problema continuo. Encontraron que tales violaciones fueron causadas principalmente por errores humanos. (Fuente: CRN)
• Los sitios web de los minoristas se enfrentan continuamente a miles de millones de intentos de piratería cada año , según un informe de Akamai Technology. Los consumidores deben tomar esto como una llamada de atención para dejar de reutilizar las credenciales en todas sus cuentas en línea. (Fuente: BizTech Magazine)
• Tras el descubrimiento de Meltdown y Spectre, fallas de seguridad encontradas en los chips Intel y AMD, varios investigadores han descubierto otra falla que podría permitir a los atacantes espiar cada pieza de datos de usuario que toca un procesador. Intel llama colectivamente a los ataques contra esta falla como un Microarquitectural Data Sampling (MDS). (Fuente: Wired)

Analistas, investigadores, profesionales de la industria y expertos por igual han planteado los peligros de la «red inteligente» de la próxima generación, particularmente cuando se trata de la ciberseguridad. Advierten que sin las medidas correctas establecidas, los partidos sin escrúpulos podrían causar estragos en la mayoría de la sociedad causando graves cortes o algo peor.

Es una posibilidad real, pero hasta ahora, ha sido algo que es en gran parte de naturaleza hipotética. En marzo, una compañía eléctrica no identificada informó un «evento cibernético» al Departamento de Energía (DOE) que causó grandes interrupciones en sus operaciones. Si bien el evento no causó un apagón o una escasez de energía, se comparó con el impacto de una interrupción importante, incluidos eventos como tormentas severas, ataques físicos y escasez de combustible.

Es fácil descartar esto como un evento único, especialmente porque, como resultado, no hubo interrupciones energéticas en el público. Pero, de hecho, se debe inferir exactamente lo contrario de esto. Es simplemente el primer dedo del pie sobre la línea en un mundo donde los ataques cibernéticos se vuelven cada vez más peligrosos, lo que pone de relieve la necesidad de comprender y mejorar la seguridad en el futuro.

¿Qué lecciones se pueden aprender de este ataque y qué se puede hacer para mitigar el riesgo en el futuro?

1. La interrupción viene en muchas formas

Casi inmediatamente, el ataque podría ser rechazado porque no causó cortes de energía ni interrupciones graves, pero ese es el tipo de enfoque de avestruz en la arena que conduce a la vulnerabilidad en el futuro. Las interrupciones o retrasos pueden venir en muchas formas, especialmente para los proveedores de servicios públicos.

Cuando se identifica un ataque, los equipos de respuesta apropiados deben dedicar recursos para lidiar con la ola que se aproxima. Básicamente, eso cuesta horas y dinero valiosos, pero también está alejando a esos equipos de tareas más importantes. Un ataque particularmente desagradable puede hacer que las cuadrillas hagan una pausa o demoren ciertas actividades simplemente para cooperar con una investigación. Eso podría hacer que un proveedor pierda eficiencia, capacidades o algo peor.

Como mínimo, los proveedores que incurren en costos significativos necesitarían recuperar el dinero de alguna manera, y eso probablemente se revertirá en los precios. Es difícil imaginar que un ataque cibernético menor tenga tal impacto en el mercado, pero es una posibilidad definitiva.

2. Muchos ataques cibernéticos son fácilmente evitables.

Los ataques cibernéticos sofisticados pueden causar muchos daños, pero muchos de ellos pueden prevenirse fácilmente con la seguridad adecuada en su lugar. Según un funcionario, el evento de DOS informado al DOE ocurrió debido a una vulnerabilidad de software conocida que requería un parche para corregirlo, un parche que también se había publicado anteriormente. Golpear «actualizar» habría frustrado el ataque.

No hay más información sobre lo que, específicamente, fue atacado. Podrían haber sido computadoras o estaciones de trabajo, u otros dispositivos con acceso a Internet o herramientas de red. Los atacantes podrían haber robado datos, archivos propietarios o sistemas en espera de rescate. Sea cual sea el daño hecho, podría haberse evitado fácilmente.

Un estudio reciente reveló que se evitó el 87 por ciento de todos los ataques enfocadosdesde enero hasta mediados de marzo de 2018. Esto se logró a través de una combinación de medidas, la primera fue la adopción de tecnologías innovadoras.

Pero, tan importante para detener los ataques es construir una base de seguridad sólida y proactiva. Este último requiere un mantenimiento atento de los sistemas y dispositivos en cuestión, lo que incluiría la actualización de la tecnología y la aplicación de parches de seguridad para ataques conocidos.

3. Los ataques DDoS deben tomarse en serio

Los ataques DoS y DDoS de hoy son diferentes, ya que son más viciosos, puntiagudos y capaces. Originalmente, lanzar un ataque DDoS significaba enviar una gran cantidad de solicitudes a una dirección IP que sobrecarga los sistemas relacionados y bloquea solicitudes legítimas. En general, aunque estos ataques provienen de diferentes equipos y fuentes, utilizan métodos de solicitud menos complejos.

El problema con el panorama actual no es solo que los ataques se hayan vuelto más sofisticados, sino que hay muchos más canales potenciales. La botnet Mirai , por ejemplo, aprovechó dispositivos IoT como cámaras de seguridad, tecnología de hogares inteligentes y más. A su vez, esto hace que la escala y la capacidad del ataque sean mucho más fuertes porque hay muchos más dispositivos involucrados y hay muchos más datos que fluyen hacia los sistemas específicos.

Un ataque masivo de denegación de servicio distribuido puede acabar con los sitios web de la compañía, redes completas o, en el caso de Mirai, casi toda Internet. Para los proveedores de servicios públicos, este tipo de ataque podría resultar desastroso para las operaciones, inundando los servidores y equipos de la red con solicitudes y bloqueando las comunicaciones oficiales.

Los ataques DDoS deben tomarse más en serio, y el mundo empresarial de hoy debe centrarse en prevenir y proteger de ellos tanto como cualquier otra amenaza. La mayoría de los proveedores de servicios en la nube ya hacen un gran trabajo de protección contra estos ataques. Se convierte en un problema real cuando los hackers pueden aprovechar las vulnerabilidades existentes, tal como lo hicieron con el evento DOE.

4. No son limitados en el tiempo

En el informe de TechCrunch sobre el incidente, se reveló que el ataque causó «interrupciones en el funcionamiento del sistema eléctrico» durante un período de más de 10 horas. Diez horas es una cantidad decente de tiempo, y proporciona una idea de cuán prolongadas pueden ser estas amenazas. Los ataques de capa de red pueden durar más de 48 horas, mientras que los ataques de capa de aplicación pueden durar días. Infiltración de sistemas y redes de espionaje – semanas y meses.

Añade otra capa al problema, más allá de la seguridad general. Estos ataques pueden durar períodos de tiempo cada vez más prolongados, y cuando se trata de proveedores de servicios públicos y de la red inteligente, esto podría significar interrupciones prolongadas del servicio.

¿Imagina estar sin energía o agua durante más de 60 días debido a un sofisticado ataque DDoS? Si bien no es probable, este escenario resalta la necesidad de encontrar soluciones de respaldo al problema.

Por ejemplo, ¿qué hacen estos proveedores para garantizar que los servicios se respaldan y respaldan adecuadamente durante los cibereventos a gran escala?

La ciberseguridad debe ser una prioridad.

El punto clave aquí es que la ciberseguridad, en general, debe ser una de las prioridades más altas para todas las entidades que operan en el panorama actual, incluidos los proveedores de servicios públicos. Estos ataques se han vuelto sofisticados, dirigidos, capaces y más desenfrenados.

El argumento que se debe hacer no es necesariamente que la protección contra cualquier forma de ataque deba ser más importante que otras. Es que todas las amenazas deben tomarse en serio, incluidos los ataques DDoS, que son cada vez más comunes. Para empeorar las cosas, hay un conjunto mucho mayor de canales y dispositivos con los que se pueden originar los ataques, y se pueden llevar a cabo durante largos períodos de tiempo.

Este mayor riesgo plantea algunas preguntas adicionales. ¿Está la red inteligente realmente lista para el horario estelar? ¿Se puede esperar competir contra tales amenazas? Si la ciberseguridad se integra en su diseño, tiene una posibilidad de lucha.

A principios de marzo, los profesionales de la ciberseguridad de todo el mundo llenaron los amplios salones de exposiciones del Centro de Convenciones de San Francisco Moscone para discutir y aprender sobre todo lo relacionado con la información, desde el cifrado de claves públicas hasta la respuesta a incidentes, y desde el aprendizaje automático hasta el abuso doméstico .

Fue la Conferencia RSA 2019, y Malwarebytes se presentó para asistir y presentar. Nuestra sesión del miércoles por la tarde: » Una persona puede cambiar el mundo, la historia detrás de GDPR «, exploró la nueva y amplia ley de privacidad de datos de la Unión Europea que, sobre todo, protege los «datos personales».

Pero un lenguaje amplio y de la ley, los miembros del público severas penalizaciones izquierda finitos con una persistente pregunta: ¿Qué es exactamente es los datos personales?

La respuesta: depende.

Los datos personales, tal como se definen en el Reglamento general de protección de datos de la UE, no son lo mismo que la «información de identificación personal», tal como se define en las leyes de protección de datos y de ciberseguridad de los EE. UU. . Además, en los EE. UU., Las leyes de protección de datos y las leyes de ciberseguridad tienen propósitos separados y, de la misma manera, otorgan definiciones ligeramente separadas a los datos personales.

Para complicar el asunto, el enfoque instintivo del público hacia la información personal, los datos personales y la privacidad en línea. Para las personas comunes, la información personal puede significar cualquier cosa, desde números de teléfono hasta información de pasaportes o códigos postales; las definiciones legales pueden estar condenadas.

Hoy, en el último blog de nuestra serie de ciberseguridad y privacidad de datos , analizamos las innumerables condiciones y los regímenes legales que se combinan para formar una amplia comprensión de la información personal.

Las empresas no deberían pensar demasiado en esto. En su lugar, los abogados de privacidad de datos dijeron que las empresas deberían prestar atención a la información que recopilan y dónde operan para comprender mejor la protección y el cumplimiento de los datos personales.

Como Duane Morris LLP, Michelle Donovan, socia de derecho intelectual y cibernética, dijo:

«Lo que se reduce a, es que, no importa cuáles son las reglas en China si no está haciendo negocios en China. Las empresas deben averiguar qué jurisdicciones aplican, qué información están recolectando, dónde residen sus sujetos de datos, y en base a eso, averiguar qué ley aplica ”.

¿Qué ley se aplica?

La información personal que necesitan las empresas para proteger los cambios de ley a ley. Sin embargo, aunque las leyes de protección de datos globales definen la información personal de diversas maneras, las definiciones en sí mismas no son importantes para todas las empresas.

Por ejemplo, una pequeña empresa en California que no tiene presencia física en la Unión Europea y no realiza esfuerzos concertados para promocionar a los residentes de la UE no tiene que preocuparse por GDPR. Del mismo modo, una empresa japonesa que no recopila datos de ningún californiano no necesita preocuparse por la ley de privacidad de datos recientemente firmada en ese estado. Y cualquier empresa fuera de los EE. UU. Que no recopile ningún dato personal de EE. UU. No debería tener que soportar los dolores de cabeza de cumplir con 50 leyes de notificación de violación de datos estatales individuales.

Vincent Schroeder, asesor legal de Baker & McKenzie LLP, quien asesora a las empresas en materia de privacidad, protección de datos, tecnología de la información y comercio electrónico, dijo que las diversas reglas que determinan qué leyes se aplican a las empresas se pueden dividir en tres categorías básicas: territorial Reglas, reglas personales y reglas sustantivas.

Las reglas territoriales son simples: determinan el cumplimiento legal basado en la presencia de una compañía en un país, estado o región. Por ejemplo, GDPR se aplica a compañías que operan físicamente en cualquiera de los 28 estados miembros de la UE, junto con compañías que comercializan directamente y ofrecen sus productos a los ciudadanos de la UE. Esa segunda regla de marketing directo es similar a otra ley de privacidad de datos en Japón, que se aplica a cualquier empresa que ofrece específicamente sus productos a residentes japoneses.

«Esa es la ‘regla del mercado’, lo llaman», dijo Schroeder. «Si está haciendo negocios en ese mercado, conscientemente, entonces está afectando los derechos de las personas que están allí, por lo que debe cumplir con la ley reglamentaria local». 

Las reglas sustantivas, por otro lado, determinan el cumplimiento en función de las características de una empresa. Por ejemplo, la recientemente aprobada Ley de Privacidad del Consumidor de California se aplica a las compañías que cumplen con uno solo de los siguientes tres criterios: obtener ingresos anuales de $ 25 millones, obtener el 50 por ciento o más de esos ingresos anuales de la venta de información personal de los consumidores, o compre, reciba, venda o comparta la información personal de 50,000 o más consumidores, hogares o dispositivos.

Las empresas que deseen saber qué información personal proteger legalmente deben ver primero qué leyes se aplican. Solo entonces deberían avanzar, porque la «información personal» nunca es solo una cosa, dijo Schroeder.

«Es una interacción de diferentes definiciones de los ámbitos territorial, personal y sustantivo de la aplicación, y para las definiciones de datos personales», dijo Schroeder.

Información personal, ¿qué incluye?

El significado de la información personal cambia dependiendo de a quién le pregunte y qué ley lea. A continuación, nos centramos en cinco interpretaciones importantes. ¿Qué significa la información personal para el público? ¿Qué significa según GDPR? Y qué significa de acuerdo con las tres leyes estatales de California: la vanguardia legislativa del país en la protección de la privacidad en línea y los datos personales de sus residentes.

El público

Seamos claros: cualquier negocio relacionado con las obligaciones legales de proteger la información personal no debe iniciar un viaje de cumplimiento, por ejemplo, realizando una encuesta de empleados en Slack y obteniendo opiniones personales. 

Dicho esto, las opiniones públicas sobre los datos personales son importantes, ya que pueden influir en los legisladores para redactar nuevas leyes para proteger mejor la privacidad en línea.

Jovi Umawing, redactor principal de contenido de Malwarebytes Labs que recientemente recopiló las opiniones de casi 4.000 encuestados sobre la privacidad en línea , dijo que la información personal es algo que puede definir a una persona de otra.

«La información personal para mí es información relevante sobre una persona que los hace únicos o sobresalientes», escribió Umawing. «Es algo intangible que uno posee o posee que (cuando se combina con otra información) apunta a la persona con una precisión muy alta o incuestionable».

Pieter Arntz, investigador de inteligencia maliciosa para Malwarebytes, proporcionó una visión similar. Dijo que considera «todo lo que se puede usar para identificarme o encontrar información más específica sobre mí como información personal». Esto incluye direcciones, números de teléfono, números de Seguro Social, información sobre licencias de conducir, información de pasaportes y «también cosas como la Código postal «, que para las personas que viven en ciudades muy pequeñas, puede ser revelador, dijo Arntz.

Curiosamente, algunas de estas definiciones se superponen con algunas de las leyes de privacidad de datos más populares de la actualidad.

GDPR

En 2018, entró en vigor el Reglamento general de protección de datos, que otorga a los ciudadanos de la UE nuevos derechos de acceso, transporte y eliminación de datos personales. En 2019, las empresas aún están descubriendo qué incluyen los datos personales.

El texto de la ley ofrece poca claridad, en lugar de proporcionar esta ideología que abarca todo el océano: «Los datos personales deben interpretarse de la manera más amplia posible».

Según GDPR, los datos personales que las empresas deben proteger incluyen cualquier información que pueda identificar “directa o indirectamente” a una persona, o sujeto, a quien pertenece o describe la información. Se incluyen nombres, números de identificación, datos de ubicación, identificadores en línea como nombres de pantalla o nombres de cuentas, e incluso características que describen la «identidad física, fisiológica, genética, mental, comercial, cultural o social de una persona».

La última parte podría incluir cosas como el registro de desempeño de un empleado, el historial de diagnóstico médico de un paciente, las opiniones políticas anarco-libertarias específicas de un usuario e incluso el color y la longitud del cabello de una persona, si es suficiente para determinar la identidad de esa persona.

Donovan, el abogado de Duane Morris, dijo que la definición de GDPR podría incluir casi cualquier información sobre una persona que no está anónima.

«Incluso si esa información no identifica a [una persona] por su nombre, si se identifica por un número, y se sabe que ese número se usa para identificar a esa persona, ya sea solo o en combinación, aún podría asociarse con esa persona». Dijo Donovan. «Debe asumir que si tiene algún dato sobre una persona que no está anonimizado cuando lo recibe, es probable que se cubra».

La Ley de Privacidad del Consumidor de California

En junio de 2018, California se convirtió en el primer estado de la nación en responder a las frecuentes crisis de privacidad en línea al aprobar una ley de privacidad de datos en todo el estado . La Ley de privacidad del consumidor de California, o CCPA, establece nuevas reglas para las compañías que recopilan datos personales de los residentes de California.

La ley, que entrará en vigencia en 2020, llama a este tipo de datos «información personal».

«Información personal», según la CCPA , es «información que identifica, se relaciona con, describe, es capaz de asociarse o podría estar vinculada, directa o indirectamente, con un consumidor u hogar en particular».

Sin embargo, lo que incluye en la práctica es una amplia gama de puntos de datos, incluido el nombre real de una persona, la dirección postal y la dirección IP en línea, junto con información biométrica, como el ADN y los datos de huellas dactilares, e incluso su historial de navegación, historial de educación, y lo que la ley describe vagamente como «información de audio, electrónica, visual, térmica, olfativa o similar».

Además de proteger varios tipos de datos nuevos, la CCPA también hace un cambio importante en la forma en que los californianos pueden hacer valer sus derechos de privacidad de datos en los tribunales. Por primera vez, una ley de privacidad de datos en todo el estado detalla los «daños legales», que son montos monetarios establecidos por la legislación que una persona puede pedir para recuperar al presentar una demanda privada contra una compañía por presuntamente violar la ley. Según la CCPA, las personas que creen que se violaron sus derechos de privacidad de datos pueden demandar a una empresa y solicitar hasta $ 750.

Este es un gran cambio en la ley de privacidad de datos, dijo Donovan.

«Por primera vez, hay una verdadera ley de privacidad con los dientes», dijo Donovan.

Anteriormente, si los individuos querían demandar a una empresa por una violación de datos, tenían que probar algún tipo de pérdida económica al solicitar daños monetarios. Si, por ejemplo, se creó una tarjeta de crédito fraudulenta con datos robados, y luego se hicieron cargos fraudulentos en esa tarjeta, los daños monetarios pueden ser fáciles de resolver. Pero rara vez es tan simple.  

«Ahora, independientemente del daño monetario, puede obtener este daño legal de $ 750 por incidente», dijo Donovan.

Ley de notificación de violación de datos de California y ley de protección de datos

Si nos quedamos en California pero retrocedemos en el tiempo varios años, vemos el comienzo de una tendencia: California ha sido el primer estado, más de una vez, en aprobar una legislación de protección de datos .

En 2002, California aprobó su ley de notificación de violación de datos . El primero de su tipo en los Estados Unidos, la ley obligó a las compañías a notificar a los residentes de California sobre el acceso no autorizado a su «información personal».

Las definiciones anteriores de información personal y datos que hemos cubierto, el enfoque amplio de GDPR, y la inclusión de CCPA de datos personales «olfativos» basados ​​en el olfato hasta ahora inimaginados, no se aplican aquí.

En cambio, la información personal en la ley de 17 años, que recibió una actualización hace cinco años, se define como una combinación de tipos de información. Los componentes necesarios incluyen el nombre y apellido de un californiano, o la inicial y el apellido, combinados con cosas como su número de Seguro Social, número de licencia de conducir y número de tarjeta de crédito y el código de seguridad correspondiente, junto con la dirección de correo electrónico y la contraseña de una persona.

Entonces, ¿si una compañía sufre una violación de datos del nombre y apellido de un residente de California más su número de Seguro Social? Eso se considera información personal. ¿Si una violación de datos compromete la primera inicial, el apellido y las reclamaciones de seguros médicos anteriores de otro residente de California? Una vez más, esos datos se consideran información personal, de acuerdo con la ley.

En 2014, esta definición se trasladó un poco a la ley de protección de datos de California. Ese año, entonces gobernador de California, Jerry Brown, firmó cambios a del estado co civiles de que crearon los requisitos de protección de datos para cualquier empresa que posee, licencias, o mantiene la “información personal” de los residentes de California.

Según el Proyecto de ley de la Asamblea núm. 1710, «información personal» es, una vez más, la combinación de información que incluye un nombre y apellido (o la primera inicial y apellido), más un número de Seguro Social, número de licencia de conducir, tarjeta de crédito Número y número de seguridad correspondiente, e información médica e información de salud.

Sin embargo, las definiciones no son idénticas. La ley de protección de datos de California, a diferencia de la ley de notificación de violación de datos, no cubre los datos recopilados por lectores de matrículas automáticos o ALPR. Los ALPR pueden capturar de forma indiscriminada, y en ocasiones de manera desproporcionada, los números de matrícula de cualquier vehículo que se cruce en su campo de visión.

Aproximadamente un año después, California aprobó una ley para fortalecer la protección de los datos recopilados por ALPR.

La comida para llevar

A estas alturas, es probable que sea más fácil definir qué información personal no es más que qué es (obviamente, también hay una respuesta legal a eso, pero nos reservamos los detalles). Estas definiciones en evolución apuntan a un panorama legal cambiante, donde los datos no están protegidos únicamente por su tipo, sino por su importancia inherente para la privacidad de las personas.

Al igual que no existe una definición de talla única para la información personal, no existe una conformidad de talla única para el cumplimiento de la protección de datos personales. Si una empresa se encuentra preguntándose qué datos personales debe proteger, podemos sugerir algo que hayamos hecho para cada blog de esta serie: Pregúntele a un abogado.

Únase a nosotros pronto para el próximo blog de nuestra serie, en el que hablaremos sobre las protecciones de los consumidores para las violaciones de datos y las invasiones de privacidad en línea.  

Por  William Tsing , Vasilios Hioureas y Jérôme Segura

En los últimos meses, hemos notado un aumento de la actividad y el desarrollo de nuevos ladrones. Uno de estos nuevos ladrones, llamado Baldr, apareció por primera vez en enero de 2019, y nuestro análisis de este malware encuentra que sus autores tomaron en serio la creación de un producto de larga duración.

A diferencia de muchos troyanos bancarios que esperan a que la víctima inicie sesión en el sitio web de su banco, los ladrones suelen operar en modo de agarrar y usar. Esto significa que, tras la infección, el malware recopilará todos los datos que necesita y los eliminará de inmediato. Debido a que estos ladrones a menudo no son residentes (lo que significa que no tienen un mecanismo de persistencia) a menos que sean detectados en el momento del ataque, las víctimas no sabrán que han sido comprometidos.

Este tipo de malware es popular entre los delincuentes y cubre una mayor superficie que los banqueros más especializados. Además de capturar el historial del navegador, las contraseñas almacenadas y las cookies, los ladrones también buscarán archivos que puedan contener información valiosa.

En esta publicación del blog, revisaremos al ladrón de Baldr analizando su introducción en los foros de delitos informáticos y su distribución en el medio silvestre.

Baldr en el mercado

Es probable que Baldr sea el trabajo de tres actores de amenazas: Agressor para la distribución, Overdot para ventas y promoción, y LordOdin para el desarrollo. Apareciendo por primera vez en enero, Baldr generó rápidamente muchos comentarios positivos en la mayoría de los populares foros de piratería rusos de clearnet.

Anteriormente asociado con el ladrón de Arkei (que se ve a continuación), Overdot publica la mayoría de las publicidades en múltiples foros de mensajes, proporciona servicio al cliente a través de Jabber y aborda las quejas de los compradores en el sistema de reputación utilizado por varios foros.

De interés es una publicación de foros que hace referencia al trabajo anterior de Overdot con Arkei, donde afirma que los desarrolladores de Baldr y Arkei están en contacto y colaboran en ocasiones.

A diferencia de la mayoría de los productos publicados en los tableros clearnet, Baldr tiene una reputación de confiabilidad y también ofrece una comunicación relativamente buena con el equipo que lo respalda.

LordOdin, también conocido como BaldrOdin, tiene un perfil significativamente más bajo en combinación con Baldr, pero monitoreará y apreciará las publicaciones que lo rodean.

Principalmente publica para diferenciar a Baldr de productos de la competencia como Azorult, y confirma que Baldr no es simplemente un personaje de Arkei:

Agressor / Agri_MAN es el jugador final que aparece en la distribución de Baldr:

Agri_MAN tiene un historial de ventas de tráfico en los foros de piratería rusos que se remontan aproximadamente a 2011. En contraste con LordOdin y Overdot, él tiene una reputación más marcada, apareciendo en una lista negra para las devoluciones de cargo, así como siendo llamado para usar las cuentas de títeres. Para generar buenos comentarios.

Utilizando la cuenta alternativa Agressor, actualmente mantiene una tienda automatizada para generar construcciones de Baldr en  service-shop [.] Ml . Curiosamente, Overdot hace referencia a un robot de instalación automatizado que no está conectado a ellos, y está generando quejas de los clientes:

Esto puede indicar que Agressor es un afiliado y no está directamente asociado con el desarrollo de Baldr. En Presstime, Overdot y LordOdin parecen ser los principales actores de amenazas que manejan Baldr.

Distribución

En nuestro análisis de Baldr, recopilamos algunas versiones diferentes, lo que indica que el malware tiene ciclos de desarrollo cortos. La última versión analizada para esta publicación es la versión 2.2, anunciada el 20 de marzo:

Capturamos a Baldr a través de diferentes cadenas de distribución. Uno de los vectores principales es el uso de aplicaciones troyanas disfrazadas de grietas o herramientas de hackeo. Por ejemplo, vimos un video publicado en YouTube que ofrecía un programa para generar Bitcoins gratuitos, pero en realidad era el ladrón de Baldr disfrazado.

También atrapamos a Baldr a través de una campaña de drive-by con el kit de explotación de Fallout:

Análisis técnico (Baldr 2.2)

La funcionalidad de alto nivel de Baldr es relativamente sencilla, ya que proporciona un pequeño conjunto de habilidades maliciosas en la versión de este análisis. No hay nada innovador en cuanto a lo que está tratando de hacer en la computadora del usuario, sin embargo, donde esta amenaza se diferencia en sí misma es en su implementación extremadamente complicada de esa lógica.

Por lo general, es bastante evidente cuando se lanza un malware para obtener una inversión rápida en comparación con cuando se crea con habilidad para una campaña de larga duración. Baldr se sienta firmemente en la última categoría, no es el trabajo de un script para niños. Ya sea que estemos hablando de su uso del empaquetador, la estructura del código de la carga útil, o incluso de su C2 backend y su distribución, está claro que los autores de Baldr pasaron mucho tiempo desarrollando esta amenaza particular.

Descripción de la funcionalidad

La funcionalidad principal de Baldr se puede dividir en cinco pasos, que se completan en orden cronológico.

Paso 1: Perfil del usuario

Baldr comienza reuniendo una lista de datos de perfiles de usuarios. Todo, desde el nombre de la cuenta de usuario hasta el espacio en disco y el tipo de sistema operativo, se enumera para la exfiltración.

Paso 2: Exfiltración de datos sensibles.

A continuación, Baldr comienza a recorrer todos los archivos y carpetas dentro de las ubicaciones clave de la computadora víctima. Específicamente, busca en la carpeta AppData y temporal del usuario información relacionada con datos confidenciales. A continuación hay una lista de ubicaciones clave y datos de aplicaciones que busca:

AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Datos de inicio de sesión
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Cookies
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Datos Web
AppData \ Local \ Google \ Chrome \ Datos de usuario \ Predeterminado \ Historial
AppData \ Roaming \ Exodus \ exodus.wallet
AppData \ Roaming \ Ethereum \ keystore 
AppData \ Local \ ProtonVPN 
Carteras \ Jaxx 
Libertad\ 
NordVPN \ 
Telegrama 
Farfullar 
Comandante total 
Ghisler

Muchos de estos archivos de datos van desde bases de datos sqlite simples hasta otros tipos de formatos personalizados. Los autores tienen un conocimiento detallado de estos formatos de destino, ya que solo los datos clave de estos archivos se extraen y se cargan en una serie de matrices. Una vez analizados y preparados todos los datos dirigidos, el malware continúa con su siguiente conjunto de funciones.

Paso 3: captura de archivos ShotGun

Los archivos DOC, DOCX, LOG y TXT son los objetivos en esta etapa. Baldr comienza en los directorios Documentos y Escritorio e itera recursivamente todos los subdirectorios. Cuando se encuentra con un archivo con cualquiera de las extensiones anteriores, simplemente toma todo el contenido del archivo.

Paso 4: ScreenCap

En este último paso de recopilación de datos, Baldr le da al controlador la opción de capturar una captura de pantalla de la computadora del usuario.

Paso 5: Exfiltración de red

Una vez que todos estos datos se han cargado en arreglos / listas organizados y categorizados, Baldr aplana los arreglos y los prepara para enviarlos a través de la red.

Una nota interesante es que no hay ningún intento de hacer que la transferencia de datos sea más discreta. En nuestra máquina de análisis, proporcionamos deliberadamente una cantidad extrema de archivos para que Baldr los tomara, preguntándonos si el malware exfiltraría lentamente esta gran cantidad de datos, o si simplemente los enviaría de vuelta al C2.

El resultado fue una transferencia de red grande y obvia. El malware no tiene funcionalidad incorporada para permanecer residente en la máquina de la víctima. Ya ha recopilado los datos que desea y no le importa re-infectar la misma máquina. Además, no existe un mecanismo de difusión en el código, por lo tanto, en un entorno corporativo, cada empleado tendría que ser dirigido manualmente con un intento único.

Análisis de nivel de código de Packer

Comenzaremos con la ofuscación de la carga útil y el uso del empacador. Esta versión de Baldr comienza como un script AutoIt integrado en un exe. Usando un descompilador AIT disponible gratuitamente, llegamos a la primera etapa del empaquetador a continuación.

Como puede ver, este código está muy confuso. Las dos primeras funciones son el principal caballo de batalla de esa ofuscación. Lo que está sucediendo aquí es simplemente reordenar la cadena provista, de acuerdo con los índices pasados ​​como segundo parámetro. Sin embargo, esto no representa un gran problema, ya que podemos extraer fácilmente las cadenas generadas simplemente modificando este script a ConsoleWrite las cadenas desofuscadas antes de regresar:

Las cadenas resultantes extraídas se encuentran a continuación:

Ejecutar
BinaryToString
@TempDir
@SystemDir
@SW_HIDE
@StartupDir
@ScriptDir
@Versión del sistema operativo
@HomeDrive
@CR
@ComSpec
@AutoItPID
@AutoItExe
@AppDataDir
WinExists
UBound
StringReplace
StringLen
StringInStr
Dormir
ShellExecute
RegWrite
Aleatorio
ProcessExists
ProcesoCerrar
IsAdmin
FileWrite
FileSetAttrib
FileRead
FileOpen
El archivo existe
FileDelete
ArchivoCerrar
DriveGetDrive
DllStructSetData
DllStructGet
DllStructGetData
DllStructCreate
DllCallAddress
DllCall
DirCreate
BinaryLen
BandejaIconcultar
: Zone.Identifier
kernel32.dll
encargarse de
CrearMutexW
estructura *
FindResourceW
kernel32.dll
palabra
SizeofResource
kernel32.dll
LoadResource
kernel32.dll
LockResource
byte[
VirtualAlloc
byte shellcode [

Además de estas llamadas a funciones obvias, también tenemos una cantidad de blobs binarios que se desenfocan. Hemos incluido solo un conjunto limitado de estas cadenas para no sobrecargar este análisis con conjuntos largos de datos.

Podemos ver que está extrayendo y desencriptando una DLL de recursos desde el ejecutable principal, que se cargará en la memoria. Esto tiene sentido después de analizar una versión anterior de Baldr que no usó AIT como su primera etapa. Las versiones anteriores de Baldr requerían un archivo secundario llamado  Dulciana. Entonces, en lugar de usar AIT, las versiones anteriores usaron este archivo que contiene los bytes cifrados de la misma DLL que vemos aquí:

Avanzando a la etapa dos, todas las cosas esencialmente permanecen iguales en todas las versiones del empaquetador Baldr. Tenemos la DLL cargada en la memoria, lo que crea un proceso secundario del ejecutable Baldr principal en un estado suspendido y procede a vaciar este proceso, reemplazándolo finalmente con la carga útil principal de .NET. Esto hace que el desempaquetado manual con ollyDbg sea agradable porque después de interrumpir la carga de Baldr.exe secundario, podemos recorrer el código restante del padre, que escribe para procesar la memoria y finalmente llama a ResumeThread () .

Como puede ver, una vez que se carga el proceso hijo, las funciones que ha configurado para llamar contienen VirtualAlloc, WriteProcessMemory y ResumeThread, que nos da una idea de qué buscar. Si volcamos esta memoria escrita justo antes de llamar al hilo de reanudación, podemos extraer fácilmente la carga útil principal.

Nuestro colega @hasherezade ha hecho este video paso a paso de desempacar Baldr:

Análisis de código de carga

Ahora que hemos desempaquetado la carga útil, podemos ver la funcionalidad maliciosa real. Sin embargo, aquí es donde comenzaron nuestros problemas. En su mayor parte, el malware escrito en cualquier lenguaje interpretado es un alivio para un ingeniero inverso en lo que respecta a la facilidad de análisis. Baldr, por otro lado, logró hacer la depuración y el análisis de su código fuente una tarea difícil, a pesar de estar escrito en C #.

El código base de este malware no es sencillo. Toda la funcionalidad está muy resumida, encapsulada en funciones de envoltura y utiliza una tonelada de clases de utilidad. Al analizar esta base de código de alrededor de 80 clases y módulos separados, no es fácil ver dónde se encuentra la funcionalidad clave. Se requieren múltiples pases estáticos sobre la base del código para comenzar a darle sentido a todo. Agregue el hecho de que los nombres de las funciones han sido modificados y se han insertado instrucciones de correo no deseado en todo el código, y el siguiente paso sería comenzar a depurar el archivo ejecutable con DnSpy.

Ahora llegamos a nuestro siguiente problema: hilos. Cada acción de minuto que realiza este malware se ejecuta a través de un hilo separado. Esto fue obviamente hecho para complicar la vida del analista. Sería exacto decir que hay más de 100 funciones únicas que se llaman dentro de los hilos en todo el código base. Esto no incluye los subprocesos que se llaman recursivamente, que podrían convertirse en miles.

Afortunadamente, podemos ver los datos locales a medida que se escriben, y eventualmente podemos ubicar las secciones clave del código:

La función que se muestra arriba recoge el perfil del usuario, como se mencionó anteriormente. Esto incluye el tipo de CPU, el nombre del equipo, las cuentas de usuario y el sistema operativo.

Una vez que se completa el proceso completo, se aplanan las matrices que almacenan estos datos, lo que resulta en una cadena como esta:

La siguiente sección de código muestra una de las muchas clases de enumeradores que se utilizan para completar un ciclo de directorios, buscando datos de aplicaciones, como las cuentas de usuario almacenadas, que guardamos a propósito para realizar pruebas.

Los datos recuperados se guardaron en listas en el siguiente formato:

En la etapa final de la recopilación de datos, tenemos los subprocesos a continuación, que completan los directorios clave en busca de archivos txt y doc. Guardará el nombre de archivo de cada txt o documento que encuentre, y almacenará el contenido del archivo en varios arreglos.

Finalmente, antes de continuar con el segmento de red del malware, tenemos la sección de código que realiza las capturas de pantalla:

La función Class 2d10104b 1b0b685 () es uno de los módulos principales que se bifurca para realizar la mayoría de las funciones, como recorrer los directorios. Una vez que se han recopilado todos los datos, los hilos convergen y las líneas de código restantes continúan en un solo hilo. Es entonces cuando comienzan las llamadas de la red y todos los datos se envían de vuelta al C2.

Panel

Al igual que otros ladrones, Baldr viene con un panel que permite a los clientes (delincuentes que compran el producto) ver estadísticas de alto nivel, así como recuperar la información robada. A continuación se muestra una página de inicio de sesión del panel:

Y aquí, en una captura de pantalla publicada por el actor de amenazas en un foro, vemos el interior del panel:

Análisis final

Baldr es un ladrón sólido que se distribuye en la naturaleza. Su autor y distribuidor están activos en varios foros para promover y defender su producto contra los críticos. Durante un corto período de tiempo de solo unos pocos meses, Baldr ha pasado por muchas versiones, lo que sugiere que su autor está corrigiendo errores e interesado en desarrollar nuevas características.

Baldr tendrá que competir contra otros ladrones y diferenciarse. Sin embargo, la demanda de tales productos es alta, por lo que podemos esperar que muchos distribuidores lo utilicen como parte de varias campañas.

Los usuarios de Malwarebytes están protegidos contra esta amenaza, detectada como Spyware.Baldr.

Gracias a S! Ri por contribuciones adicionales.

Indicadores de compromiso

Muestras de baldr

5464be2fd1862f850bdb9fc5536eceafb60c49835dd112e0cd91dabef0ffcec5 -> versión 1.2
1cd5f152cde33906c0be3b02a88b1d5133af3c7791bcde8f33eefed3199083a6 -> versión 2.0
7b88d4ce3610e264648741c76101cb80fe1e5e0377ea0ee62d8eb3d0c2decb92> versión 2.2
8756ad881ad157b34bce011cc5d281f85d5195da1ed3443fa0a802b57de9962f (2.2 sin empaquetar)