Venimos con noticias sobre el mantenimiento adecuado del sitio web y la limpieza general para la cantante Cardi B (o más bien, para su equipo de desarrollo web). A primera vista, parecía como si su sitio web hubiera sido pirateado hace unos días. Pero una mirada debajo del capó contaba una historia diferente.

Nos sorprendió ver el siguiente acecho en el sitio web oficial de Cardi B:

Click para agrandar

Ignore la ventana emergente de la política de privacidad. Los sitios web no pueden obtener suficiente de estos en estos días, gracias a GDPR . No, de lo que estamos hablando es de la peculiar explosión de texto de spam en toda la página. ¿Había sido comprometido? ¿O había algo más que culpar?

Click para agrandar

Las cosas ciertamente no se ven bien. Peor aún para la cantante, la página principal de su sitio promocionaba videos de spam similares:

Click para agrandar

Podría estar equivocado, pero no creo que sus fanáticos estén particularmente interesados ​​en los clics para falsificar transmisiones de películas y un partido de fútbol en el que participen Stoke City y Wigan Athletic. Los enlaces de spam también llegaron a la página de fotos:

Click para agrandar

Esas son definitivamente fotos, pero no tanto de un cantante cantando. ¿Lo que pasó aquí?

Parece que el sitio permite que las personas se registren como usuarios registrados y luego publiquen comentarios. En algún momento, esta característica ha atraído la ira de los remitentes de correo no deseado que descubrieron una forma de no solo enlucir páginas individuales con enlaces de spam, sino también alimentar dicho correo no deseado en varias secciones principales del sitio como un todo.

Publicamos extensamente sobre el tratamiento correcto de los comentarios publicados por los usuarios, y también hemos analizado cómo las cosas pueden salir mal con los  complementos y las herramientas de terceros . Cuando se trata de nuestro propio sitio, seguimos de cerca el spam, los comentarios moderados y las secciones de comentarios cerrados después de un cierto período de tiempo. Con la cantidad de basura flotando en la web, no puede permitirse el lujo de mantener una presencia ordenada en línea.

Si bien las páginas fraudulentas en cuestión parecen haberse eliminado, la simple búsqueda del sitio web Cardi B en Google revela el daño infligido a los resultados de búsqueda del sitio:

Click para agrandar

Los resultados de spam como este pueden llevar mucho tiempo para filtrarse fuera de los motores de búsqueda, y no es genial tener cosas como esa en la parte superior de las búsquedas junto con los resultados legítimos.

Click para agrandar

Hubo una limpieza desde que los fanáticos de Cardi B comenzaron a hablar de eso en las redes sociales. Aunque todavía puede acceder a la página de inicio de sesión para las cuentas de usuario existentes en el sitio, parece que se han deshabilitado los nuevos registros para que los administradores del sitio puedan recuperar todo bajo control.

Click para agrandar

Si bien un brote de spam nunca es bueno, especialmente cuando se extiende a su página de inicio, parece que los estafadores no tenían nada más que spam en mente, por lo que no hubo enlaces de malware. Sin embargo, lo que sí estaba en evidencia era una cantidad de enlaces cortadores de cookies a sitios de transmisión de video y clips de YouTube.

Click para agrandar

Con tantos enlaces spam y tedioso trabajo por hacer para verificar cada uno individualmente, no hay forma de garantizar que los destinos finales estén libres de daños. Si cree que puede haber terminado en algo que no sea una página de registro de videos o películas de YouTube a través de cualquiera de estos enlaces, entonces es una buena idea ejecutar algunos análisis antimalware en su PC y asegurarse de estar limpio.

En cuanto a Cardi B, es de esperar que los administradores del sitio puedan controlar el tipo de brotes de spam que han experimentado en los últimos días. Las características sociales para los usuarios de su sitio son geniales, pero esos servicios deben equilibrarse con moderación estricta y un límite en cuanto a dónde dichas características pueden llevarlo, incluso si se trata de Stoke City versus Wigan Athletic.

Tradicionalmente, los ataques de malware como siempre los hemos conocido son archivos escritos en el disco de una forma u otra que requieren ejecución para poder llevar a cabo su alcance malicioso. El malware sin archivos, por otro lado, está destinado a ser solo residente en memoria, idealmente sin dejar rastros después de su ejecución. La carga maliciosa existe dinámicamente y puramente en la memoria RAM, lo que significa que nunca se escribe nada directamente en la HD.

El objetivo de todo esto para el atacante es dificultar el análisis forense posterior a la infección. Además, esta forma de ataque hace que sea casi imposible que las firmas de los antivirus desencadenen una detección. En algunos casos específicos, como con SamSam , la única forma de recuperar una muestra para analizar sería detectar el ataque en vivo. Este es uno de los mayores desafíos cuando se trata de malware sin archivos.

Malware sin archivos: la serie

En esta serie de artículos, discutiremos los detalles técnicos de todos los tipos de malware sin archivos y sus ataques relacionados en profundidad. Vamos a cubrir una breve descripción general de los problemas y las características generales del malware sin archivos, sentando las bases para el análisis técnico en profundidad específico de varias muestras que emplean métodos sin archivos. Finalmente, terminaremos con algunos ataques y condiciones teóricos sin archivos.

Evolución de los ataques sin archivos

Antes de continuar, sería beneficioso echar un vistazo a un artículo que escribimos hace un par de años, que cubre los aspectos básicos de los ataques sin archivos.

Ahora, los ataques sin archivos no son necesariamente algo nuevo, ya que vimos malware residente en memoria en la naturaleza hace más de 15 años. Un ejemplo es el Virus Lehigh , en el que «rellena una parte no utilizada del código del archivo host en su espacio de pila, sin causar un aumento en el tamaño del host. Puede infectar otro archivo COMMAND.COM si se inserta un disco de DOS mientras el virus está en la memoria «.

Sin embargo, con el paso del tiempo, las técnicas y herramientas utilizadas para llevar a cabo estos ataques se han vuelto cada vez más avanzadas. De hecho, esta evolución es lo que ha hecho que el malware sin archivos reciba mucha atención entre los expertos en seguridad en los últimos años.

La progresión a lo largo de los años ha sido interesante:

• Como se mencionó con Lehigh, el virus infectado en realidad contenía el código malicioso y la carga útil en memoria.
• Avanzando en el tiempo, el malware como Poweliks  utilizó una Runkey «NULO» (que hace que el contenido sea invisible) en el registro para ejecutar JavaScript y usó PowerShell para ejecutar un script codificado oculto en otro lugar del registro. Esencialmente, la carga útil se almacenó en el registro, recuperación, decodificación y ejecución durante el tiempo de ejecución solamente.
• Los kits de exploits de hoy en día, como Magnitude EK , pueden transmitir la carga útil y ejecutarla sin soltarla primero en el disco.
• El malware como DNSMessenger  recupera el script de PowerShell malicioso de un servidor C2.
• SamSam  escribe una carga de malware cifrada en el disco, y solo se descifra cuando el atacante ejecuta manualmente una secuencia de comandos que introduce la contraseña de descifrado.

El problema con el malware sin archivos

Cuando un equipo de SOC o un ingeniero de seguridad interno monitorean la red de una compañía y reciben una alerta de actividad sospechosa durante la búsqueda de amenazas, solo pueden esperar que exista malware tradicional basado en archivos. ¿Por qué? Es mucho más fácil para ellos poder rastrear qué daño se ha hecho, así como también el alcance del ataque.

Tener rastros de un malware basado en archivos en la red le da al equipo SOC un punto de partida definitivo para revisar. Estos archivos permiten a los ingenieros rastrear los orígenes del malware y generalmente dan una idea clara de cómo se violaron la red. Ya sea por correo electrónico vinculado a una descarga maliciosa o un compromiso del sitio web, tener el historial de archivos proporciona una línea de tiempo limpia que, en última instancia, hace que el trabajo sea mucho más fácil. Aún más, tener el binario permite a los equipos SOC analizar el código y ver exactamente qué sucedió, y qué sistemas y datos fueron dirigidos.

Me gusta comparar el malware sin archivos con un ataque manual que un pirata informático podría llevar a cabo si obtenía acceso directo a una máquina remota. El malware sin archivos es, en muchos sentidos, idéntico al enfoque de piratería manual, pero en lugar de tener que arrastrarse por la víctima remota, el malware sin archivos se puede ejecutar automáticamente. En muchos casos, las mismas herramientas exactas utilizadas por el hacker manual son utilizadas por el malware sin archivos.

Por ejemplo, un ataque que utiliza la ejecución de scripts de PowerShell usa herramientas incorporadas de Windows para realizar actividad maliciosa. Dado que las herramientas como PowerShell suelen estar en la lista blanca (ya que se utilizan a diario para actividades no maliciosas), tanto los atacantes manuales como los malware sin archivos tienen a su disposición una herramienta gratuita para llevar a cabo el ataque. Esto hace que la actividad maliciosa sea mucho más difícil de rastrear para un equipo SOC. No hay un archivo para rastrear el historial de. El ingeniero de seguridad ahora debe mirar otros artefactos y eventos registrados para intentar llegar a una conclusión. Ya sea un ataque sin archivos o una violación manual, deja al ingeniero de seguridad con el mismo problema.

Mitigación

Ahora, hay formas de ayudar a combatir esto. Continúo llamándolo un problema porque manejar y prevenir este tipo de ataques es un proceso continuo. La diferencia entre el uso benigno de PowerShell y el uso malintencionado a veces puede ser minuto. Un ojo no entrenado puede observar la ejecución y actividad de PowerShell y no darse cuenta de que es malicioso en absoluto.

Alternativamente, a menudo ocurre exactamente lo contrario. El observador puede mirar un registro de actividad benigno y pensar que es sospechoso. El hecho de que discernir entre estas dos condiciones sea difícil incluso para los expertos en seguridad es la razón por la que este problema es increíblemente difícil de resolver con la tecnología moderna. Este tipo de ataques crea un escenario donde la solución no es una ciencia exacta. Es un problema continuo y se siguen realizando avances.

Como mencioné anteriormente, algunos de estos ataques crean un escenario de «vivir de la tierra» en el que aprovechan las herramientas integradas de Windows. Debido a esto, un método para evitar este ataque sería identificar la amenaza en su punto de entrega, antes de que llegue al sistema.

Déjame elaborar un poco. En el ejemplo de la explotación sin archivos / en el navegador, es importante probar primero y bloquear el ataque antes de que comience. Es por eso que Malwarebytes desarrolló tecnología como la mitigación de exploits en sus programas de software . Monitorear la memoria y examinar la cadena de ejecución es un gran primer paso para poder bloquear genéricamente estos ataques. Nuestra tecnología de mitigación de exploits ha demostrado históricamente ser efectiva contra este tipo de ataque. Sin embargo, incluso si el código puede infectar el sistema, una buena solución de protección de punto final puede identificar la actividad anómala, rastrear el código oculto y eliminarlo del sistema, lo que interrumpirá la capacidad del malware de reiniciarse después del reinicio.

Como expliqué, la lucha está en curso, y esa es la razón por la cual una gran parte de asegurarse de que estas amenazas no puedan causar daños también es responsabilidad del equipo SOC. Aplicar parches y habilitar el registro y el control de acceso son una precaución necesaria. El mantenimiento a veces puede marcar la diferencia como la primera y última línea de defensa. Esto también ayudará a acelerar el tiempo de reacción en caso de un compromiso.

Series futuras: tipos sin archivos y semi-sin archivos

El objetivo del resto de esta serie será cubrir los tipos de malware sin archivos y los ataques de los últimos cinco años. Las técnicas utilizadas en este grupo son más comunes y proporcionan una mejor preparación y conocimiento útil cuando se trata de futuros ataques de malware sin archivos.

Además, veremos no solo el malware puro sin archivos, sino también algunos ataques sin archivos. Por ejemplo,  Kovter utiliza caracteres que no son ASCII para crear claves de registro ilegibles que contienen JavaScript ofuscado. En este caso, la secuencia de comandos maliciosa técnicamente existe en el disco como claves de registro, sin embargo, no es un archivo en el disco en el sentido tradicional.

SamSam  es otro tipo de malware que considero semi-sin archivos, en el sentido de que después de obtener los archivos involucrados en el ataque, todavía no tienes suficiente información para analizar la carga útil. Si bien hay algunos archivos en el disco, como cargadores y cargas cifradas, la carga no se puede acceder a menos que intercepte el script que inició toda la cadena de eventos.

Sintonícese para la segunda parte de esta serie, donde trataremos los detalles técnicos de las diversas tácticas y técnicas utilizadas en los ataques de archivos actuales, haciendo referencia a muestras que utilizan estas técnicas en la naturaleza.

La primavera pasada, encontramos otra pieza de software de riesgo en Google Play que llamamos Android / PUP.Riskware.FakeGift . Según los caracteres hindi que se encuentran en el código, podemos suponer que proviene de la India. Con más de 50,000 instalaciones antes de ser removidas de Google Play, FakeGift aparentemente siguió dando frustración a sus usuarios, es decir.

 

Dinero en efectivo de regalo

Como su nombre lo indica, FakeGift solo ofrece regalos falsos. Es cierto que lo hace de una manera divertida. Así es como funciona: todos los días se le otorgan 10 «regalos» gratuitos. Como se muestra a continuación, después de la pantalla inicial, la página de inicio muestra una caja de regalo.

 

Presiona la caja de regalo y recibirás un «regalo» en rupias. La cantidad de rupias dotadas es aleatoria. La cantidad de talento se agrega a un equilibrio que se encuentra en la parte superior derecha de la pantalla.

Después de presionar la caja de regalo 10 veces, le hará saber que ya terminó el día, incluso después de cerrar y volver a abrir.

 

También puede acumular rupias presionando «Compartir», que lo redirige a WhatsApp. Tenga en cuenta que si no tiene Whatsapp, solo muestra un mensaje de error que dice: «Whatsapp no ​​está instalado en este dispositivo». Una vez en Whatsapp, simplemente elija una víctima … er … amigo para enviar un mensaje. En hindi, el mensaje dice:

सभी स्मार्टफोन यूजर ध्यान दे ऑनलाइन पैसे कमाने का एक बहुत ही सुनहरा अवसर हैं आपके पास, “ इसे एक बार जरूर पढ़े” | गिफ्ट मनी में आपका स्वागत हैं गिफ्ट मनी दे रहा हैं पैसे कमाने का एक सुनहरा मौका गिफ्ट खोले de Más पैसा कमाए | गिफ्ट मनी प्प में????????? ??? ???आप रोजाना 400-500 रूपए आसानी से कमा सकते हो | महीने के 15000 से 20000 रूपए आपकी इनकम हो सकती हैं | दोस्तों आपको 1 दिन में 10 गिफ्ट मिलेंगे उन गिफ्ट को आपको खोलना हैंआपके लक के अनुसार गिफ्ट में कितने भी रूपए निकल सकते हैं de Más गिफ्ट मनी आपको फ्री मेंगिफ्ट नहीं दे रहा हैं आपकोरोजाना अप्प में 10 मिनट का वर्क करना हैं उसी के पैसे आपको दे रहा हैं तो दोस्तों पैसे कमाने के इस अच्छे मोके को गवांये नहीं de Más अभी डाउनलोड करे de Más वर्क स्टार्ट कर दे | Descargar este enlace <enlace oculto de Google Play>

Traducción aproximada con Google Translate :

Todos los usuarios de teléfonos inteligentes prestan atención. ???El dinero en línea es una gran oportunidad para ganar dinero. «Debe leerlo una vez». में Bienvenido a Gift MoneyGift Money le brinda una oportunidad de oro para ganar dinero, abrir regalos y ganar dinero. Puede ganar fácilmente entre 400 y 500 rupias por día en la aplicación Gift Money. Puede ganar de 15,000 a 20000 rupias por mes. Amigos, recibirán 10 regalos en 1 día, deben abrir esos obsequios de acuerdo con su suerte, cuántas rupias pueden obtener en el obsequio y obsequiarles no es obsequiarles un obsequio. Tienes que trabajar 10 minutos diarios en el trabajo del dinero. Si lo estás dando, entonces los hombres no se pierden esta cosa buena para ganar dinero y descargarlo ahora y comenzar a trabajar. Descargar este enlace <enlace oculto de Google Play>?????

Cada mensaje de WhatsApp enviado es un adicional de 10 rupias.

FakeGift, el regalo que sigue dando … absolutamente nada

Después de acumular algunas rupias, puede presionar «Pago» desde la pantalla de inicio para canjear. Como se muestra a continuación, tiene tres opciones de pago.

Escogiendo PayPal , aparece este mensaje.

Traducción: para la transferencia de saldo en Paypel First Time debe ser de 5000 rupias. Después de eso, puede transferir el saldo diariamente. Gracias.

Aquí es donde se pone turbio. Después de acumular las 5,000 rupias requeridas, aún no puede transferir el dinero. Las críticas enojadas de Google Play muestran la decepción.

Una revisión (muy) se traduce aproximadamente como «El dinero tiene que ser 5000 cada vez que se corta dinero y no se agrega, esta es una aplicación falsa. Amigos, no pierdan su tiempo «.

La diversión termina

Aunque al principio es divertido, darse cuenta de que no hay premios al final convierte la diversión en frustración. Para muchos, esto viene solo después de compartir con múltiples amigos a través de WhatsApp. Con este método, la aplicación pudo obtener más de 50,000 instalaciones. Además, se encontró otra variante usando un nombre diferente, pero jugando el mismo juego. También recibió alrededor de 50,000 instalaciones. La buena noticia es que el único daño hecho es tiempo perdido y nada peor. Manténgase seguro allí!

La semana pasada en Labs, nos dimos un vistazo a las amenazas internas , dobla hacia atrás sobre la privacidad de las extensiones del navegador de búsqueda , perfilado estafas de tarjetas verdes , revisada Defcon  badgelife , y habló de lo que ocurre con las cuentas de un usuario cuando mueren .

Otras noticias de ciberseguridad

• Hubo un error de archivo en Twitch HQ. Desafortunadamente, eso dejó algunos mensajes de usuarios privados (incluso aquellos con información confidencial en ellos) expuestos al público durante un tiempo. (Fuente: Blog de seguridad desnuda de Sophos)
• Investigadores de la Universidad Católica descubrieron que las aplicaciones que ofrecen bloqueo de anuncios y privacidad pueden pasarse por alto . (Fuente: Blog de seguridad desnuda de Sophos)
• Investigadores asociados con Proyecto de Inseguridad encontraron una falla en los servicios de discapacidad en las empresas canadienses de telecomunicaciones. (Fuente: el Threatpost de Kaspersky)
• Facebook continuó limpiando la casa, eliminando más páginas de campañas que se originaron en Irán y Rusia para frenar el «comportamiento coordinado e inauténtico». (Fuente: Sala de prensa de Facebook)
• Un profesor de ciencias de la computación en la Universidad de Vanderbilt publicó un estudio de 55 páginas sobre cómo Google continúa recopilando datos sobre los usuarios, incluso cuando el dispositivo está inactivo. (Fuente: The Washington Post)
• Philips reveló que sus dispositivos de imágenes cardiovasculares tienen un defecto que podría proporcionar a un hacker de bajo nivel una «gestión de privilegios inapropiada». (Fuente: ZDNet)
• El proveedor de servicios Videomaker Animoto fue violado . (Fuente: TechCrunch)
• Ryuk, un nuevo ransomware, entrenó su punto de mira en grandes organizaciones capaces de pagar un rescate de alto valor en Bitcoin. (Fuente: ZDNet)
• El Grupo Lazarus de Corea del Norte lanzó su primer malware Mac e infiltró con éxito sistemas de TI de una plataforma de intercambio de criptomonedas con sede en Asia. (Fuente: Bleeping Computer)
• Superdrug, el popular minorista de salud y belleza con sede en el Reino Unido, fue violado . (Fuente: Revista InfoSecurity)
• Cobalt Dickens, una campaña que se originó en Irán, apuntó a universidades en 14 países para robar credenciales. (Fuente: SecureWorks)
• Los hackers ganan millones vendiendo comunicados de prensa inéditos. (Fuente: The Verge)

¡Mantente seguro, todos!

Gracias a @nullcookies por proporcionar clientes potenciales.

La mayoría de las estafas en línea dependen de dos cosas para tener éxito: un proceso quebrado u oneroso para tratar con una entidad legítima y una población objetivo desesperada. Con la inmigración, hay muchos, muchos procesos onerosos para navegar, y la mayoría de los solicitantes involucrados están al menos algo desesperados debido a los costos y los largos gastos de tiempo. El resultado es un entorno maduro para las estafas de tarjetas verdes.

Parece real, pero vino de un sitio de estafa

Officialgreencardlottery.org (que, de hecho, ninguna de estas cosas) es un gran ejemplo de cómo tomar prestado el simbolismo y el lenguaje de las autoridades legítimas, combinado con comunicaciones auténticas limitadas de esas autoridades, puede crear un entorno propicio para estafar.

El sitio está diseñado profesionalmente, hasta un logotipo falso que se aproxima al logotipo del Departamento de Estado de los EE. UU. Lo más cerca posible de la legalidad. Hay muchas llamadas a la acción urgentes, con botones rojos «Aplicar hoy» en la mayoría de las páginas y advertencias extremas sobre lo que puede sucederle si su aplicación se ingresa demasiado tarde. Pero desplazándonos hacia abajo, vemos lo siguiente:

Que dice:

La Green Card Office de los EE. UU. No está afiliada al gobierno de los EE. UU. Ni a ninguna agencia gubernamental. Puede ingresar a la Lotería de Visas de Diversidad de los EE. UU. De forma gratuita en www.state.gov entre sus fechas de registro abiertas, que normalmente comienzan a principios de octubre de 2018. No somos una firma de abogados, no proporcionamos asesoramiento legal y no sustituimos a un abogado. Este sitio proporciona un servicio de revisión y presentación que requiere una tarifa.

Por lo tanto, no solo no están afiliados al gobierno de los EE. UU., No son abogados, y por lo tanto, probablemente no saben nada sobre la ley de inmigración y no pueden brindar ayuda significativa con los problemas de la tarjeta verde.

El DNS pasivo en el sitio no revela mucho, excepto sitios adicionales usa-dvprogram [.] Info y us-dvprogram [.] Info. Retroceder hasta la última resolución de IP muestra lo siguiente:

official-dvlottery.us, official-usagcl.org, officialusagcl.org, usagc-eligibility.online, usagclmessage1.online

Después de encontrar poco interés en la infraestructura de estafa, decidimos registrarnos como posible inmigrante y ver qué servicios se ofrecían.

Después de pagar $ 129 por el privilegio de entregar cierta información personal, de inmediato recibimos una «llamada de verificación» de un hombre con acento del sur de Asia. Preguntamos repetidamente sobre el proceso, cuándo se enviaría nuestra solicitud a los funcionarios pertinentes y cómo seguir adelante. El operador respondió con una venta difícil para «actualizar» nuestra aplicación para tener múltiples oportunidades de ganar. (Así no es como funciona la lotería real)

En ningún momento se nos proporcionó información sobre el proceso real, ni el operador divulgó en absoluto lo que su compañía haría por nosotros. En función de nuestra experiencia con la llamada, el proveedor no ofrece ningún tipo de servicio, pero con mucho gusto recibirá tanto dinero como cantidades significativas de datos personales. Como una estafa en general, la calificamos como B-.

Una pregunta que a veces surge con este tipo de estafas entre los defensores es a menudo, «¿Quién podría caer en la trampa?» La respuesta es típicamente «probablemente usted». Veamos por qué.

A continuación se muestra el sitio real de la tarjeta verde en https://www.dvlottery.state.gov:

A diferencia del sitio de estafa, el real no proporciona esencialmente información sobre lo que es la lotería o cómo aplicarla. Los significados de autenticidad están limitados a un pequeño logotipo en la esquina superior izquierda. No hay orientación sobre cómo obtener más información.

Por el contrario, el sitio de estafa proporciona información básica sobre lo que es la lotería, algunas estadísticas breves de la aplicación y una marca grande e importante en todo el sitio. Si a usted, un candidato potencial, se le presentaran ambos sitios, ¿cuál de ellos se  sentiría  más auténtico? ¿Cuál elegirías si tuvieras recursos financieros limitados y solo pudieras postular una vez? ¿Qué se sentiría más complaciente si tuvieras habilidades limitadas de inglés?

Lo que está sucediendo con este sitio de estafa y el sitio del Departamento de Estado de EE. UU. Más arriba es bastante similar a lo que vemos con soporte técnico legítimo y estafadores de soporte técnico. Una entidad oficial hace un mal trabajo de comunicación con su electorado, y eso crea un vacío que los estafadores están demasiado ansiosos por llenar. Entonces, si bien hay pasos concretos que puede tomar un usuario final para mantenerse a salvo de este tipo de cosas ( ver aquí ), las grandes empresas y las agencias gubernamentales también cargan con la culpa.

En lugar de descartar a la persona por haber caído en la estafa, una solución más viable para el personal de seguridad es colaborar en toda la empresa para garantizar que las comunicaciones corporativas no dejen espacio a los estafadores para explotarlas. ¿Su boletín de marketing parece una estafa? ¿Sus empleados de soporte se autentican a pedido? ¿Pueden verificar a terceros que trabajan con usted? Todos estos son problemas solucionables que pueden evitar que al menos una parte de los usuarios sean víctimas.

Una de las cosas más comunes que la mayoría de nosotros hacemos en Internet es buscar, ya sea que estemos buscando el último gadget o necesitamos encontrar la dirección de ese gran restaurante recomendado por un amigo. El vertiginoso número de consultas de búsqueda de Google por segundo (más de 40,000, en promedio) nos dice que hay mucho dinero para hacer mediante la publicidad en los resultados de búsqueda.

No solo los grandes nombres de la industria de la búsqueda son conscientes de este hecho. Otros quieren un pedazo del pastel, también. Pero, ¿qué pueden esperar lograr cuando su presupuesto no está cerca de los jugadores de marquesina, y uno de sus posibles competidores ha logrado convertir su marca en un verbo ?

Lo único que tiene sentido en este escenario es ofrecer algo que otros no tienen. Y con las brechas de datos recientes, el seguimiento en línea, la publicidad dirigida y otros eventos que amenazan la privacidad, todos nos preocupan por nuestra privacidad en línea, algunos desarrolladores inteligentes han creado  extensiones de navegador que prometen apartar las miradas de nuestras búsquedas.

Hemos notado bastantes nombres nuevos en esta incipiente industria. De hecho, algunos de ellos son tan similares en su publicidad, redacción, codificación y uso de imágenes, que no hay otra explicación además de que sus desarrolladores decidan que el poder radica en números: extensiones, nombres de marcas y nombres de dominio. Y todos están haciendo, o más bien no haciendo, lo mismo en un intento de hacer sonar la caja registradora.

En caso de que se pregunte si alguno de ellos vale la pena el tiempo que lleva instalarlos, la respuesta breve es no .

Investigación

Para investigar esta tendencia que hemos estado observando desde el verano de 2017, analizamos 25 extensiones que anuncian que ofrecen más privacidad durante las búsquedas. Una de las primeras cosas que notamos fue que más de la mitad de estas extensiones eran tan parecidas, las clasificamos como una sola familia.

Nuestro nombre genérico de detección para variantes más pequeñas que pertenecen a esta familia es PUP.Optional.SearchAlgo.Generic . Se llama así por el dominio que usa esta familia para enrutar sus búsquedas. Por lo que puedo decir, todos terminan mostrando resultados de búsqueda de Yahoo, pero esto no está codificado en la extensión, por lo que la redirección probablemente se decida sobre la marcha por el código en los servidores de searchalgo.com. Eso les facilitaría el cambio en caso de que reciban una oferta mejor que la de Yahoo Search.

Descompostura

Hemos examinado algunos de los mejores resultados encontrados mientras buscamos extensiones de búsqueda privadas, y encontramos varias similitudes nefastas o cuestionables. No es de extrañar que todas estas extensiones, no solo la de la familia «searchalgo», se hayan agregado a nuestras detecciones como programas potencialmente no deseados (PUP) . Aquí hay un desglose de lo que encontramos:

Protocolo: aunque algunas de las extensiones realmente usan el protocolo https para realizar sus búsquedas, la mayoría de ellas no. Esto nos deja deseando de inmediato más privacidad cuando presionamos el botón de búsqueda. El uso del protocolo https al menos dificultaría el espionaje.

Resultados: la tasa de división de aquellos que muestran sus resultados en un sitio propio y aquellos que simplemente nos redireccionan a la Búsqueda de Yahoo es aproximadamente de cincuenta y cincuenta.

Código: Revisamos el código de las extensiones para ver si los desarrolladores prestaban atención a la privacidad de la búsqueda o los resultados de búsqueda. No encontramos ningún rastro de tal código.

Navegadores: la  mayoría de las extensiones que encontramos solo estaban disponibles para Chrome. Algunos fueron pensados ​​para Firefox. Probablemente esto se deba a la participación de mercadomucho mayor para Chrome en este momento.

Los detalles técnicos

Al observar el código de una de las principales familias, podemos ver que esta es la rutina de búsqueda principal:

En caso de que tenga esperanzas cuando descubrió la palabra «codificar», la función encodeURIComponent () codifica un componente de Identificador uniforme de recursos (URI) al reemplazar cada instancia de ciertos caracteres por una, dos, tres o cuatro secuencias de escape que representan el Codificación UTF-8 del personaje. Esto solo se usa para garantizar que ciertos caracteres especiales, como las barras diagonales inversas, no se lean como código. Entonces, no hay mejora de privacidad allí.

Como se mencionó anteriormente, una de las familias más grandes en esta categoría usa su propio dominio para redirigir las búsquedas al motor de búsqueda establecido más rentable.

Lo más rentable para los autores de la extensión debe ser Yahoo Search por el aspecto de los resultados. Otros obtienen resultados de un motor de búsqueda popular y agregan su propio encabezado y algunos «anuncios» para ganar dinero.

Funcionalidad extra

Algunas de estas extensiones de búsqueda también prometen una funcionalidad adicional. Hemos visto variantes que prometen especializarse en:

• Música
• Películas
• Juegos
• Descargas

Y generalmente, cuando visita los dominios que se enumeran como el origen de la extensión en la tienda web, descubrirá que anuncian estas extensiones de búsqueda especializadas, pero no sus extensiones que mejoran la privacidad.

Descubrimos que algunas de estas extensiones son anteriores al aumento de las extensiones de búsqueda de privacidad, pero aún usan el mismo código, imágenes y dominios de búsqueda. Por ejemplo,  WowMovix .com ha estado presente desde finales de 2015 y hasta la fecha todavía usa el dominio de búsqueda searchalgo.

¿Es posible que hayan cambiado el esquema de comercialización y no el código subyacente?

Privacidad en línea

Por supuesto, apreciamos el deseo de las personas de tener más privacidad en línea. Pero para aquellos tentados por la promesa de privacidad mejorada durante las búsquedas en línea, tenemos algunas alternativas mejores:

• Antes que nada, debería echar un vistazo a esta publicación sobre publicidad basada en intereses y qué puede hacer al respecto.
• Además, recomendamos usar una herramienta menos limitada para bloquear el seguimiento . Hay muchos que bloquean el seguimiento en cada sitio que visita, no solo durante las búsquedas.
• O bien, puede anonimizar su tráfico de Internet mediante el uso de una VPN .

Detener publicidad

Uno de los efectos secundarios de todas las extensiones de «búsqueda de privacidad» que vimos fue la afluencia adicional de anuncios. Si desea detenerlos, ya sea que estén orientados o no, debería echarle un vistazo a esta publicación sobre bloqueo de anuncios , así como a esta sobre qué bloqueadores de anuncios desea usar y cómo instalarlos.

La respuesta larga

Aunque los editores de estas extensiones intentan decirnos que se puede obtener privacidad durante sus búsquedas en línea, somos de la opinión de que existen muchas formas mejores de lograr ese nivel de privacidad que instalar estas extensiones. No tuvimos tiempo para buscar y examinar cada extensión que promete mantener privadas sus búsquedas, pero tenemos razones para creer que la mayoría de ellas están más interesadas en sus ingresos personales que en su privacidad. Le aconsejamos que considere una de las otras opciones con un impacto más amplio en su privacidad, como VPN, herramientas anti-seguimiento, tomando otras medidas contra la publicidad basada en intereses.

Un año más, uno más Defcon completado.

Defcon es la conferencia de seguridad de más larga duración y a la que he asistido desde Defcon 18. Es una oportunidad para ver e interactuar en la vida real con colegas de la industria que de otra manera seguirían siendo una persona digital. Es el lugar donde escuchas sobre las técnicas de ataque más nuevas, los hacks más geniales y los fallos de seguridad más espectaculares. Un gigantesco crisol de hackers, profesionales de seguridad, varios empleados de agencias de tres letras, abogados, estudiantes, sombreros negros, sombreros grises, sombreros blancos, administradores de TI, guerreros del servicio de ayuda, periodistas, activistas, reversores, cypherpunks, equipo de vudú penitente rojo vudú expertos y estoicos defensores del equipo azul.

Defcon es la conferencia de conferencias. Incluso hay un LineCon, que consiste en las discusiones improvisadas que se llevan a cabo mientras se espera para registrarse o esperar para entrar a una sala para ver una presentación. Y no nos olvidemos de HallCon, donde inicias una conversación con extraños al azar y nunca, ni una vez, haces que ponga los ojos en blanco cuando empiezas a hablar de seguridad.

Las aldeas, como la aldea LockPick, existen donde los voluntarios demuestran cuán ilusoria es la protección que proporciona una cerradura física. Luego, hay varias comunidades de piratería de hardware, donde los enrutadores, los repetidores de Wi-Fi o cualquier otra cosa que contenga una computadora pequeña se separan. Los soldadores abundan y se fomenta el desmontaje. Las garantías se rompen alegremente y los mecanismos de sabotaje son ignorados o derrotados de una manera indetectable. Está el pueblo de hackeo de coches, hackeo de drones, los eventos de ingeniería social. La lista sigue y sigue en una cornucopia de frescura.

Y no olvidemos el botín. ¡Oh, el más elegante de los swag! Camisetas épicas, calcomanías geniales y extrañas, mochilas del ejército con bolsillos bajillones, tarjetas de hotel personalizadas,  monedas de desafío y la joya de la corona de todos ellos … Las codiciadas insignias electrónicas no oficiales.

Defcon tiene las mejores insignias, en parte por necesidad, teorizo. ¿Cómo se combaten los distintivos falsificados cuando la gran mayoría de los asistentes conocen las impresoras de tarjetas de plástico,  se familiarizan con el software de edición de fotografías y tal vez tengan un código moral flexible?

Un ejemplo de una insignia Defcon temprana. (Foto adquirida en Internet)

Mejoras tu juego. Los primeros ejemplos fueron en relieve, luego hechos de plexiglás cortado con láser, ¡e incluso de metal! Muy pronto, la funcionalidad fue arrojada a la mezcla. Comenzó lentamente, con LED parpadeando, y progresó rápidamente. A medida que las insignias comenzaron a incluir desafíos de cifrado, se agregó una funcionalidad cada vez mayor. El fundamento de esta mejora fue fomentar la colaboración entre los asistentes con diferentes conjuntos de habilidades al intentar resolver los acertijos que contiene.

A medida que la funcionalidad de la credencial creció, los asistentes emprendedores de la conferencia comenzaron a modificarlos. La insignia Defcon 16 incluía una función » TV-B-GONE «, para gran disgusto de los propietarios de bares y restaurantes de Las Vegas. Un asistente de Defcon 17 incluso agregó un alcoholímetro a su insignia.

Insignias oficiales de Defcon de antaño.

Finalmente, los organizadores de Defcon se establecieron en una cadencia. Un año fue un desafío criptográfico con un estilo artístico de insignia; el año alterno es electrónico. Esta fue probablemente una decisión logística, ya que las insignias electrónicas se hicieron cada vez más intrincadas, requiriendo un tiempo de desarrollo cada vez más largo debido a su complejidad.

Alrededor de este tiempo, los asistentes a Defcon fueron testigos del nacimiento y aumento de insignias Defcon no oficiales. Construidos por los asistentes, estos distintivos no oficiales se convirtieron en el objeto más buscado para llevar colgado al cuello: un prestigioso símbolo de estatus que confirma su «leet-ness». Una confirmación visual que tenía la astucia necesaria para adquirirlos. Conocía a las personas adecuadas o tenía las habilidades para crear las suyas propias.

Distintivos de Defcon no oficiales, que incluyen: la insignia Whisky Pirates, una insignia MK1 Bender, los Ides de Defcon y una insignia VoidDC24.

Defcon 26 vio una verdadera explosión de distintivos no oficiales, a medida que un número cada vez mayor de grupos de asistentes empresariales emprendedores comenzaron a crear sus propias insignias con una vertiginosa serie de características. Aquí hay una selección de insignias extraoficiales adquiridas este año.

Una insignia DC801, una insignia Furcon, una insignia Fale, una insignia Linecon2018 y una insignia LHC.

Con la explosión de insignias no oficiales, se desarrolló un estándar conocido como » SAO » . «Este estándar permitió mini insignias complementarias que eran mucho más fáciles de hacer y les dio la oportunidad a los creadores de insignias menos experimentados de mojarse los pies. Estas mini insignias también permitieron una mayor comercialización de la insignia brisker, ya que tendían a ser más simples en cuanto a diseño y alcance.

Un engreído de ojos rojos personalizado Rick SAO hecho por @reanimationxp @tr_h y @ssldemon

Una selección de las mini insignias de SAO adquiridas a través de transacciones comerciales, de intercambio de bebidas o monetarias.

Todos estos son solo una pequeña muestra de lo que estaba disponible. El proyecto en el que participé fue la insignia de Defcon Drone (¡Hola Bl1n7!) Y nuestro equipo mostró frenéticamente sistemas operativos de placas y montó kits hasta altas horas de la noche. Tengo que aprender sobre el IDE de Arduino,  ya que mostré el firmware base en los paquetes de credencial prometida de Kickstarter. También aproveché la oportunidad para perfeccionar mis habilidades de soldadura y reparar componentes electrónicos. La suite donde se llevaron a cabo todas estas actividades estaba completamente equipada con microscopios, estaciones de soldadura, películas clásicas de ciencia ficción en el fondo, ¡y una gran cantidad de deliciosos bocadillos!

Defcon es lo que haces de él, y este año elegí hacer todo sobre la vida de la insignia. Puede encontrar más información sobre badgelife aquí , cortesía de Hackaday.

La semana pasada, di una charla en BSides Manchester basada en una serie de blogs previa para Malwarebytes Labs llamada «La entropía digital de la muerte».

¿Qué haces cuando un pariente o amigo cercano muere, dejando todas sus cuentas digitales por ahí para que cualquiera las saque y use? ¿Qué empresas tienen disposiciones vigentes para poder «reclamar» dichas cuentas, ofreciendo la posibilidad de bloquearlas, descargar datos seleccionados o simplemente purgar los perfiles de sus sistemas? ¿Tiene un sistema establecido para que los parientes tomen el control de su presencia en línea si ocurriera lo peor? ¿Están al tanto de todas las micro transacciones y débitos directos que salen de su cuenta?

El seguimiento de mi blog sobre qué hacer con sus cuentas en línea cuando muere cubría las arenas interminablemente cambiantes de la red, explorando el mundo de la podredumbre de enlaces .

Es muy fácil imaginar un futuro en el que todo el contenido real se haya desvanecido de la red, y todo lo que queda son cuentas de perfiles latentes. Incluso tenemos un ecosistema peculiar que surge alrededor de los sitios que se desconectan o que eliminan contenido antiguo para dejar espacio para nuevos artículos. Incluso los enlaces aún en línea pueden cambiar el contenido esperado y causar dolores de cabeza a las personas que intentan acceder a ellos. ¿Qué acecha en el otro extremo de una URL en la que creía que podía confiar?

Todo esto y más fue cubierto en la presentación, y usted puede ver la grabación completa a continuación.

Las diversas secciones de la presentación (aproximadamente 45 minutos de duración) son las siguientes:

* Estadísticas : ¿Cuántas muertes ocurren por año y cuántas cuentas en línea tenemos? 
* Rezzing : las tres formas principales de recuperar una cuenta inactiva. 
* Activos y déficits digitales : explorar los tipos de testamentos disponibles, conservar la propiedad de las cuentas después de la muerte y la noción de temporizadores DRM incorporados en función de la esperanza de vida. 
* El enfoque de bricolaje : cómo las personas intentan mantener el control de las cuentas que pertenecen a sus seres queridos. 
* Empresas que se enfrentan a la muerte : ¿cómo se enfrentan los grandes jugadores en el espacio web con este problema? 
* Link rot : ¿Qué sucede cuando la web comienza a caer en pedazos? ¿Qué empresas buscan ganar algo de dinero y cómo?

Este es un tema cubierto en línea con bastante frecuencia , pero tal vez el conocimiento de dichos artículos no esté tan extendido como podría ser. Desde que di la charla, tuve muchos comentarios positivos junto con muchos ejemplos de «esta cosa horrible le pasó a nuestra familia». Definitivamente es algo que puede surgir sin previo aviso, y nos corresponde a nosotros asegurarnos de que la increíble el impacto estresante  de la muerte se reduce lo más posible.

Nadie quiere estar atascado jugando con cuentas en línea, mucho menos buscándolos, cuando alguien ha muerto, pero se está convirtiendo cada vez más en algo en lo que debemos pensar. Afortunadamente, cuando existe un abismo entre los deseos y las necesidades digitales de una familia afligida y las leyes específicas en su región del mundo que no (o no) pueden dar cuenta de acertijos digitales, cada vez más empresas se suman para ofrecer sus propias soluciones a este problema increíblemente difícil.

Pueden pasar desapercibidos durante años. Hacen sus acciones cuestionables en el fondo. Y, a veces, uno se pregunta si están haciendo más daño que bien.

Aunque parece que estamos describiendo un PUP sofisticado del que no has oído hablar, no lo estamos.

Estos son los atributos conocidos de las amenazas internas.

Las amenazas internas son una de las pocas amenazas no digitales que afectan a las organizaciones de todos los tamaños hasta la fecha. Y, para golpear con la publicidad, el peligro que representan es real.

Cuando una vez las compañías pensaron que los riesgos para sus activos de alto valor solo podían provenir de actores externos, lentamente se dieron cuenta de que también enfrentaban peligros potenciales desde adentro. La peor parte es que nadie puede decir quiénes son los culpables hasta que el daño esté hecho.

En el libro blanco Osterman Research titulado White Hat, Black Hat y el surgimiento del sombrero gris: Los verdaderos costos del cibercrimen , se encuentra que las amenazas internas representan una cuarta parte de los ocho riesgos graves de ciberseguridad que afectan significativamente a los sectores público y privado. Para decirlo de otra manera, los empleados actuales y anteriores de una organización, terceros proveedores, contratistas, socios comerciales, personal de limpieza de oficinas y otras entidades que tienen acceso físico o digital a recursos de la compañía, sistemas críticos y redes se clasifican colectivamente en el la misma lista que ransomware , spear phishing y ataques de estado nación .

La mayoría de los conocedores que han causado dolor de cabeza a sus empleadores no necesariamente tienen antecedentes técnicos. De hecho, para empezar, no tenían el deseo o la inclinación de hacer algo malicioso en contra de su compañía. En el 2016 Cost of Insider Threats [PDF] , un estudio de referencia realizado por el Ponemon Institute, un porcentaje significativo de incidentes internos dentro de las empresas en los Estados Unidos no fue causado por personas delictivas, sino por personal negligente.

Este hallazgo sigue siendo coherente con el costo de las amenazas internas de 2018 [PDF] , donde la cobertura también incluye organizaciones de la región de Asia y el Pacífico, Europa, África y Oriente Medio. Falta general de la información privilegiada de la atención y el mal uso de los privilegios de acceso, junto con poca o ninguna conciencia de seguridad cibernética y la formación, son algunas de las razones por las que son peligrosos.

Entender las amenazas internas

Muchos ya se han descrito lo que es una amenaza interna es, pero ninguno tan inclusivo y abarca como el significado presentado por el Centro de amenazas CERT Insider , un brazo de investigación del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (SEI). Han definido una  amenaza interna como:

… el potencial de las personas que tienen o han autorizado el acceso a los activos de una organización para utilizar su acceso, maliciosa o involuntariamente, para actuar de una manera que pueda afectar negativamente a la organización.

A partir de esta definición, podemos clasificar a los iniciados en dos categorías principales: intencional y no intencional. Dentro de esas categorías, hemos descrito los cinco tipos conocidos de amenazas internas hasta la fecha. Los son los siguientes:

Personas internas intencionales

A sabiendas, perjudican a la organización, sus activos, recursos, propiedades y personas.

La información privilegiada maliciosa 

Este tipo tiene varios nombres, incluidos el agente deshonesto y el renegado. Tal vez su principal diferenciación de la información privilegiada profesional (como verá más adelante) es que ninguna persona de este tipo comenzó con intenciones maliciosas. Algunos empleados descontentos, por ejemplo, pueden decidir comprometer la red de la compañía si perciben que su compañía los ha hecho mal plantando malware, eliminando archivos de la compañía, robando propiedad intelectual patentada para vender, o incluso reteniendo cuentas y datos esenciales para obtener un rescate .

En ciertas circunstancias, los empleados se vuelven pícaros porque quieren ayudar a su país de origen. Tal es el caso de Greg Chung , quien fue declarado culpable de suministrar a China inteligencia militar y espacial durante su mandato en Rockwell y Boeing al robar casi tres décadas de documentos ultrasecretos. El número de cajas de archivos recuperados de su casa no fue revelado, pero podemos suponer que será de cientos.

Los empleados que son forzados u obligados a realizar actos maliciosos en nombre de una o más entidades también se incluyen en este tipo.

La información privilegiada profesional

Este tipo generalmente se conoce como espía o topo en una organización. Ingresan a una organización generalmente como empleados o contratistas con la intención de robar, comprometer, sabotear y / o dañar activos y la integridad de la compañía. Pueden ser financiados y dirigidos por estados nacionales u organizaciones privadas, generalmente un competidor de la empresa objetivo.

Cuando la Carta de Jacobs se hizo pública, un alegato de 37 páginas escrito por el ex empleado de Uber Ric Jacobs, parecía que la demanda civil entre Google y Uber ya no era su caso habitual de robo de propiedad intelectual. En esta carta, Jacobs afirmó que el ex CEO de Uber Travis Kalanick era el cerebro detrás del robo, con Anthony Levandowski como actor. Aunque esta acusación aún no se ha fundamentado, Levandowski se ajustaría a este tipo si se encuentra cierto.

La información privilegiada violenta

Los actos que tienen un impacto negativo en las organizaciones no comienzan ni terminan en el abuso, mal uso y robo de activos no físicos. También pueden incluir amenazas de naturaleza violenta. Peopleware es tan esencial como el software y el hardware que utiliza una organización, incluso más crucial. Entonces, lo que afecta negativamente a los empleados también afecta a la organización.

Por lo tanto, es imperativo que las organizaciones también identifiquen, mitiguen y protejan a su personal de amenazas físicas potenciales, especialmente aquellas que nacen desde adentro. El CERT Insider Threat Center reconoce la violencia en el lugar de trabajo (WPV, por sus siglas en inglés) como otro tipo de amenaza interna , y la clasificamos como personas internas intencionadas.

WPV se define como violencia o amenaza de violencia contra empleados y / o ellos mismos. Esto puede manifestarse en forma de ataques físicos, comportamiento o lenguaje amenazante o intimidatorio (por escrito, verbal o transmitido electrónicamente), acoso u otros actos que pueden poner en riesgo a las personas.

Este autor espera que el CERT y otras organizaciones que investigan las amenazas internas amplíen su definición para incluir intimidación en el lugar de trabajo, violencia doméstica (por ejemplo, cuando un compañero abusivo viene detrás de su compañero abusado en el lugar de trabajo) y otras acciones que arriesgar o afectar negativamente su bienestar emocional y psicológico.

Leer: De las comadrejas, las serpientes y las abejas reinas

Insider Threat La investigadora Tracy Cassidy del CERT ha identificado [PDF] los siguientes indicadores que permiten a un empleado pertenecer a este tipo:

• Historia de la violencia
• Problemas legales
• Pérdida de otro significativo
• Conflicto con el supervisor
• Posible pérdida de empleo
• Mayor consumo
• Con respecto a las búsquedas web

En 2015, Vester L. Flanagan II (alias Bryce Williams) mató a tiros a dos de sus antiguos colegas en WDBJ7, una estación de televisión local en Roanoke, Virginia, durante una entrevista en vivo. Posteriormente, Flanagan publicó un video del tiroteo en Facebook y en Twitter, afirmando que sus víctimas lo perjudicaron.

Dos años después del incidente de Flanagan, Randy Stair estaba publicando videos y mensajes preocupantes en Twitter sobre su plan para matar a sus compañeros de trabajo en el supermercado Weis en Pennsylvania. Nadie estaba completamente seguro de su motivo, pero las investigaciones revelaron que no le gustaba su gerente y mostraba signos de extrema soledad días antes del incidente.

Informantes no intencionales

No tienen mala intención o malicia hacia su empleador, pero sus acciones, inacciones y comportamiento a veces causan daño a la organización, sus activos, recursos, propiedades y personas.

La información privilegiada accidental

También se les conoce como personas ignorantes, ingenuas o descuidadas. Este tipo es quizás el más pasado por alto y subestimado con respecto a su posible riesgo y daño a las organizaciones. Sin embargo, múltiples estudios confirman que los iniciados accidentales representan la mayoría de las brechas significativas que aparecen en los titulares. Los iniciados de este tipo son relativamente comunes.

Incidentes, como ignorar o inadvertidamente hacer clic en un enlace en un mensaje de correo electrónico de dudosa procedencia, publicar o filtrar información en línea, desechar indebidamente documentos confidenciales y extraviar los activos propiedad de la compañía (por ejemplo, teléfonos inteligentes, CD, USB, laptops), incluso si solo sucede una vez, puede no parecer un gran problema. Pero estas acciones aumentan la exposición de una organización al riesgo que podría llevar a su compromiso.

A continuación, se incluye un ejemplo del potencial de daño de un iniciado interno: los secuestradores utilizaron una cuenta de Amazon Web Service (AWS) de acceso público para extraer criptomonedas. Los investigadores de seguridad de Redlock investigaron el asunto y encontraron configuraciones incorrectas en el servidor de AWS. Esto le dio a los secuestradores acceso a las credenciales que podrían permitir a cualquiera abrir los contenedores S3 donde se almacenaba información confidencial. Resultó que la cuenta pertenecía a alguien en Tesla, por lo que los investigadores les alertaron de la violación.

La persona interna negligente

Los empleados de este tipo generalmente están familiarizados con las políticas de seguridad de la organización y los riesgos involucrados si se ignoran. Sin embargo, buscan maneras de evitarlos de todos modos, especialmente si sienten que tales políticas limitan su capacidad de hacer su trabajo.

Un analista de datos que trabaja para el Departamento de Asuntos de Veteranos descargó y se llevó a casa los datos personales de 26.5 millones de veteranos del ejército de EE. UU. Esto no solo era una violación de las políticas del departamento, sino que el analista tampoco estaba autorizado a hacerlo. La casa del analista fue robada y la computadora portátil fue robada. Los datos incluyen nombres, números de seguridad social y fechas de nacimiento.

Pasos para controlar los incidentes internos

Si bien la educación y la concientización sobre seguridad cibernética son iniciativas en las que todas las organizaciones deben invertir, hay momentos en que simplemente no son suficientes. Tales iniciativas pueden disminuir la probabilidad de incidentes internos accidentales, pero no de incidentes basados ​​en negligencia, información privilegiada profesional u otras campañas de ataque sofisticadas. Las organizaciones deben implementar controles y usar software para minimizar los incidentes de amenazas internas. Dicho esto, las organizaciones también deben continuar impulsando la educación y la conciencia, así como proporcionar apoyo profesional y emocional a los empleados para mitigar el daño potencial de personas internas accidentales, malintencionadas o violentas.

Obtenga soporte ejecutivo A medida que más y más organizaciones se dan cuenta de los riesgos que representan las amenazas internas, también es más fácil obtener la aprobación ejecutiva sobre la idea de disminuir los incidentes de amenazas internas que ocurren en el lugar de trabajo. Reúna y use información sobre incidentes que ocurrieron dentro de la organización (especialmente aquellos de los que el C-suite podría no estar al tanto) antes de lanzar la idea de crear un programa de amenazas internas.

Construye un equipo Si una organización emplea miles, sería ideal contar con un equipo que maneje exclusivamente el programa de amenazas interno. Los miembros deben rastrear, supervisar, investigar y documentar casos o incidentes de amenazas internas. Este equipo debe formar parte de una membresía multidisciplinaria de los departamentos de seguridad, seguridad informática, recursos humanos, legal, comunicación y otros. Si es posible, la organización también debe traer ayuda externa, como un consultor de violencia en el lugar de trabajo, un profesional de salud mental e incluso alguien de la policía para actuar como asesores externos del equipo.

Identificar riesgos. Las amenazas de los iniciados varían de una industria a otra. Es vital que las organizaciones identifiquen las amenazas a las que están expuestas dentro de su industria antes de que puedan llegar a un plan sobre cómo detectarlas y mitigarlas.

Actualice las políticas existentes. Esto supone que la organización ya tiene establecida una política deseguridad o ciberseguridad . Si no, crear uno ahora es esencial. También es importante que el equipo cree un plan o proceso de cómo deben responder a incidentes de amenazas internas, especialmente en informes de violencia en el lugar de trabajo. El equipo siempre debe recordar que no existe un enfoque único para abordar los incidentes de amenazas internas de naturaleza similar.

Implementar controles Una organización que tiene poco o ningún control no es segura en absoluto. De hecho, son fruto fácil para actores externos e internos. Los controles mantienen seguro el sistema, la red y los activos de una organización. También minimizan el riesgo de amenazas internas. A continuación hay algunos controles que las organizaciones pueden considerar adoptar. (De nuevo, hacerlo debe basarse en su evaluación de riesgos):

• Bloquear actividad dañina. Esto incluye el acceso a sitios web particulares o la descarga e instalación de ciertos programas.
• Aplicaciones de lista blanca. Esto incluye los tipos de archivos adjuntos de correo electrónico que los empleados pueden abrir.
• Deshabilite unidades USB, unidades de CD y programas de correo electrónico basados ​​en seguimiento.
• Minimiza el acceso a ciertos datos. Las organizaciones también deberían centrarse en esto cuando se trata de teletrabajo o de trabajadores remotos.

Lea: Cómo proteger a sus trabajadores remotos

• Proporcione el menor nivel de acceso a los usuarios con privilegios.
• Coloque banderas en credenciales antiguas. Los ex empleados pueden intentar usar las credenciales que usaron cuando aún estaban empleados.
• Crear un proceso de terminación de empleado.

Instalar software. Muchas organizaciones pueden no darse cuenta de que el software ayuda a eliminar las amenazas internas de raíz. A continuación hay una lista de algunos programas que la organización puede considerar usar:

• Software de monitoreo de la actividad del usuario
• Predictivo / software de análisis de datos (para buscar patrones recogidos de las interacciones de los empleados dentro de la red de la organización)
• Software de gestión de eventos e información de seguridad (SIEM)
• Software de gestión de registros
• Software de detección de intrusiones (IDS) y prevención (IDP)
• Máquinas virtuales (para un entorno seguro para detonar o abrir archivos potencialmente dañinos)

Es importante tener en cuenta que, si bien existen programas, controles y políticas diseñados para ayudar a las organizaciones a detener los riesgos internos, es posible que nunca se erradiquen por completo los incidentes de amenazas internas. Además, predecir amenazas internas no es fácil.

«Para poder predecir cuándo un interno maliciosamente quiere dañar a una organización, defraudarla, robar algo de ella, es realmente difícil con la tecnología identificar a alguien que está haciendo algo con intenciones maliciosas», dijo Randy Trzeciak, director del programa CERT de la Universidad Carnegie Mellon, en una entrevista con SearchSecurity.Com.  «Realmente necesita combinar los aspectos conductuales de lo que podría motivar a alguien a defraudar a una organización, o robar propiedad intelectual, o sabotear una red o sistema, que generalmente está fuera del control de lo que es un departamento de TI tradicional y qué lo hacen para prevenir o detectar actividad maliciosa por parte de los iniciados «.

Lectura adicional:

• Cuatro tipos de empleados que son potenciales amenazas internas
• «Violencia en el lugar de trabajo: problemas en respuesta» por el Grupo de Respuesta a Incidentes Críticos del FBI

El equipo de Malwarebytes estuvo en el evento anual Black Hat USA que se realizó en Las Vegas en el Mandalay Bay Hotel del 4 al 9 de agosto. Grandes multitudes caminaban por el piso de la exposición, asistían a charlas y participaban en capacitaciones.

Entre los muchos temas discutidos, el ransomware surgió como uno de los principales problemas que enfrentan tanto los consumidores como las empresas. Si bien se ha estado desacelerando con respecto a años anteriores, el ransomware sigue siendo una amenaza, en particular para los usuarios empresariales con ataques más selectivos y costosos. Por ejemplo, el ransomware SamSam, que presentamos en nuestro stand de Black Hat, sigue golpeando objetivos grandes y causando un gran daño financiero.

Helge Husemann presenta sobre el impacto del ransomware SamSam

La amenaza número uno que se ha hecho cargo, y que fue un tema recurrente durante Black Hat, fue cryptominers maliciosos. Si bien no son tan paralizantes como el ransomware, los mineros juegan el juego largo y pueden afectar a las empresas de diferentes maneras, incluido el desgaste de las máquinas más rápido y la productividad de los trabajadores. Los mineros, junto con otras amenazas como los troyanos bancarios, se propagan a través de muchos posibles vectores de ataque, incluidos el phishing, puertas traseras, malspam, publicidad maliciosa, minería drive-by, y más.

Principales vectores de ataque para el paisaje de amenazas 2018

Tanto Helge Husemann como Dana Torgersen, nuestros gerentes de mercadotecnia de productos, mantuvieron informados a los visitantes de nuestro stand sobre las últimas amenazas, mientras nuestros ingenieros de ventas realizaban demostraciones que mostraban nuestros productos.

Cameron Naghdi haciendo una demostración de nuestras soluciones

Finalmente, participamos en un panel con otros investigadores de seguridad, discutiendo algunos de los temas más candentes del momento, incluidas nuestras mayores preocupaciones sobre el panorama de las amenazas y qué tecnologías creemos que son más vulnerables.

Para ver el video completo, mira nuestro video de Facebook en vivo aquí .

Otros temas acalorados que mantuvieron animadas a las personas fueron los cambios recientes en materia de privacidad, por ejemplo, con GDPR en Europa y el impacto en los datos whois. Al mismo tiempo, la inteligencia de amenazas como disciplina demostró que puede recurrir a otros indicadores de compromiso para conectar los puntos.

A pesar de las multitudes y el excesivo calor en Las Vegas, Black Hat fue un evento exitoso en el que conocimos a muchos de nuestros clientes actuales y nuevos. ¡Te veo el próximo año!