Es difícil recordar todas las brechas de datos que ocurrieron en 2018. Pero cuando observa las más grandes e impactantes de todo el año, presenta un panorama sombrío sobre el estado actual de la seguridad de los datos.

Las consecuencias de las grandes empresas que filtran datos confidenciales son muchas. Para los consumidores, representa una pérdida de privacidad, un posible robo de identidad e innumerables horas de reparación del daño a los dispositivos. Y también es costoso para las empresas, en forma de mala prensa y el daño resultante a su reputación, así como el tiempo y el dinero gastados para remediar la violación y garantizar que los datos de los clientes estén bien protegidos en el futuro.

Pero a pesar de los costos conocidos de las violaciones de datos, el problema de los datos con fugas no está mejorando. Si bien hubo un mayor número de brechas en 2017 , 2018 vio brechas en una escala más masiva y de jugadores de marquesina, como Facebook, Under Armour, Quora y Panera Bread. Los delincuentes cibernéticos robaron información confidencial de identificación personal (PII) de los usuarios, incluidos correos electrónicos y direcciones físicas, contraseñas, números de tarjetas de crédito, números de teléfono, itinerarios de viaje, datos de pasaportes y más.

Usted pensaría que estos problemas harían que las empresas sean más diligentes en el descubrimiento de violaciones de datos, pero eso no parece ser el caso. En realidad, las empresas rara vez descubren violaciones de datos por sí mismas. Según Risk Based Security, solo el 13 por ciento de las violaciones de datos se descubren internamente.

Para ayudar a las personas a comprender mejor el problema moderno de las violaciones de datos, TruthFinder creó esta infografía . Aclara el alcance de la crisis utilizando estadísticas del Centro de amenazas de robo de identidad y Experian. Eche un vistazo a la infografía a continuación para tener una idea de por qué 2018 fue el año del tsunami de violación de datos.

«¡Oh no! Tengo un aviso de ransomware en mi estación de trabajo. ¿Cómo pasó esto?»

«Vamos a resolver eso más tarde. Primero, aplique la copia de seguridad desde hace unos minutos, para que podamos continuar trabajando «.

Ahora eso no fue tan doloroso, ¿verdad? Tener una solución de reversión o una copia de seguridad reciente podría hacer que este escenario ideal de infección de ransomware sea posible. Pero, ¿qué tecnología podría hacer que esto funcione? ¿Y es posible hoy?

Como hemos señalado anteriormente, la tecnología blockchain no es solo para las criptomonedas . De hecho, algunos proveedores ya están ofreciendo el uso de la cadena de bloques para crear copias de seguridad recientes y seguras.

Copias de seguridad

Con el ransomware aún una de las amenazas más frecuentes, tener copias de seguridad es una de las estrategias más recomendadas para evitar el pago de un rescate. Pagar rescates no solo alimenta la industria del ransomware, es probable que se vuelva ilegal en algunos estados y países.

Para que las copias de seguridad sean lo más efectivas posible:

• Necesitan ser recientes.
• No deben destruirse en el mismo accidente o incidente que los originales.
• Deben estar protegidos contra la manipulación y el robo.
• Deben ser fáciles de implementar.

Para lograr estos objetivos, crear copias de seguridad en varias ubicaciones, en diferentes medios, y cifrarlas si es necesario, es una gran ayuda. Esta es exactamente la razón por la que usar la tecnología blockchain tiene sentido.

Blockchain

Un recordatorio rápido sobre cómo funciona blockchain . Blockchain es un sistema descentralizado que puede realizar un seguimiento de los cambios en forma de una base de datos distribuida que mantiene una lista de transacciones en continuo crecimiento. Cada cambio en el bloque da como resultado un valor hash diferente. Esto brinda la oportunidad de agregar una firma digital a cada conjunto de datos. Por lo tanto, lo ideal es que pueda estar seguro de que la copia de seguridad que está a punto de implementar es reciente y no ha sido manipulada por manos no autorizadas.

Como deberia funcionar

La tecnología blockchain es una contabilidad descentralizada. Cada transacción guarda una copia idéntica de la anterior. La autenticidad de las copias puede ser confirmada por cualquiera de los nodos. Los nodos son los «trabajadores» que calculan un hash válido para el siguiente bloque en la cadena de bloques.

Esto significa que si el primer bloque contendría una copia cifrada de todos los archivos que usa hoy, cada bloque siguiente incluiría una copia de ese conjunto más todos los cambios realizados antes del siguiente hash que fue aceptado por la red de nodos. . Y cada bloque siguiente contendría toda la información en el anterior más todos los cambios desde entonces.

Dado que cada nodo tiene acceso a la lista de cambios, esto hace que el proceso sea completamente transparente. Cada transacción se registra y la adición de una huella dactilar endurece el proceso contra la manipulación. La arquitectura de la cadena de bloques hace que sea imposible manipular o cambiar el resultado, y se necesita el consenso de los nodos para crear una «bifurcación» legal.

«Bifurcación» es el término usado para describir la situación donde existen dos o más cadenas de bloques válidas. O mejor dicho, donde dos bloques de la misma altura, o con el mismo número de bloque en el siguiente orden, existen al mismo tiempo. En una situación normal, la mayoría decide por un bloque como la base para el resto de la cadena y se abandona la otra horquilla. A veces, las horquillas se usan con el propósito de separar una cadena para un cambio en el protocolo. Estos son llamados «tenedores duros».

Posibles características adicionales

Marcas de tiempo:  un método de copia de seguridad que utiliza este tipo de tecnología de cadena de bloques también se puede utilizar como prueba legal de que un documento no se ha modificado desde el momento en que se incluyó en las copias de seguridad.

Historial de cambios:  También se puede utilizar un método similar para realizar un seguimiento de los cambios autorizados que se realizaron en un documento y registrar cuándo se produjeron y quién los realizó.

Escollos

Las empresas que buscan implementar la tecnología blockchain para crear copias de seguridad seguras deben tener en cuenta algunas dificultades, especialmente si pretenden limitar la cantidad de nodos para mantenerlos dentro de la empresa.

Las redes pequeñas son vulnerables a los ataques de la mayoría. La tecnología blockchain se construye para que la mayoría decida. Y si puede encontrar una manera de proporcionar más de la mitad de la potencia informática activa en la red, puede crear su propia bifurcación falsa. En las criptomonedas, un ataque de este tipo puede permitir el doble gasto, lo que deja a uno de los receptores en el frío. Algunas criptomonedas como Bitcoin Gold (BTG) han descubierto de la manera más difícil que pueden funcionar los llamados ataques del 51 por ciento. Costó intercambios varios millones de dólares.

Otro posible problema para mantener pequeño el número de nodos es el ataque de Sybil. Un ataque de Sybil ocurre cuando un nodo en una red usa múltiples identidades. Este es un procedimiento que puede permitir que un atacante supere los nodos honestos controlando o creando una mayoría. Cuando un ataque del 51 por ciento se basaría únicamente en la potencia de cálculo, algunas redes utilizan un factor llamado «reputación» como un factor de ponderación adicional para la influencia de los nodos.

Su nodo controla los nodos de Sybil que intentan obtener el control total. Imagen cortesía de CoinCentral .

El comportamiento del usuario es siempre una preocupación. Puede crear el sistema de respaldo más seguro, pero un empleado descontento podría frustrar todo el esfuerzo. Y los expertos no tienen que tener malos motivos para corromper el sistema. Pueden hacerlo por ignorancia o con las mejores intenciones. Es posible que quieran barrer algo debajo de la alfombra y eliminar o corromper sin saberlo más de lo que esperaban.

Los archivos eliminados pueden ser un problema en algunas configuraciones. Esto es algo a tener en cuenta. Tener el hash del archivo eliminado y la fecha en que se eliminó puede no ser siempre satisfactorio. Incluso si sabe cuándo y por quién se eliminó un archivo, eso no lo devolverá. Dependiendo de la forma en que esté configurado el sistema de copia de seguridad, esto puede resolverse con algunas excavaciones en las copias de seguridad antiguas, o pueden perderse para siempre.

El problema subyacente para esto es: ¿Desea que todas las versiones de cada documento estén disponibles en todo momento, o está bien tener la versión original y la más reciente con un resumen histórico de cuándo se modificó y quién lo hizo? Idealmente, debería haber algunos puntos intermedios, por ejemplo, copias de seguridad completas una vez al año y copias de seguridad incrementales realizadas por la cadena de bloques.

Redes de nodos grandes

Para evitar cualquier tipo de ataque mayoritario, las compañías pueden decidir utilizar redes más grandes y establecidas como el Proyecto Ethereum , pero esto puede chocar con políticas de no compartir ningún tipo de datos fuera de su propia red. Incluso si son solo los hashes y las marcas de tiempo del sistema de archivos, esto podría hacer que otros sepan lo que está pasando. Y los costos para los nodos que calculan los hash (los mineros) podrían resultar más costosos que las soluciones de respaldo actuales.

Entonces, ¿cuándo podemos esperar que esto suceda?

Creo que veremos más avances en este campo en un futuro próximo. La copia de seguridad incremental y el seguimiento de los cambios tiene una cadena de bloques escrita en ella. Pero una solución viable debería tener una gran red detrás. Y hay otros inconvenientes que deben tenerse en cuenta al diseñar y configurar dicho sistema de respaldo. Puede que aún no esté listo para ser su única solución, pero parece ser una solución ideal para tener copias de seguridad incrementales en una cadena de bloques combinada con copias de seguridad completas a intervalos establecidos.

La semana pasada, en Labs, consideramos el sistema operativo Fuchsia como una posible alternativa para Android , explicamos todas las razones por las que los cibercriminales quieren piratear su teléfono , discutieron una  falla en el formulario de Twitter que puede haber sido abusada por los estados del país , le dieron un  resumen de estafas tecnológicas de Navidad , reveló por qué muchos  cuestionarios en línea califican como estafas de suplantación de identidad (phishing) , ofreció algunos consejos sobre el uso seguro de los altavoces inteligentes que obtuvo para Navidad , señaló que  el kit de explotación Underminer mejoró su última versión y recordó a todos que los  Chromebooks pueden infectarse .

Otras noticias de ciberseguridad.

• Los piratas informáticos de PewDiePie vuelven a atacar: los piratas informáticos afirmaron que lanzaron otro ataque que engañó a cientos de miles de impresoras de todo el mundo para imprimir folletos que promocionaban a la celebridad de YouTube » PewDiePie «. (Fuente: ThreatPost)
• La violación de Equifax fue totalmente prevenible: el personal de la mayoría republicana del Comité de Supervisión y Reforma Gubernamental de la Cámara de Representantes de los Estados Unidos dice que el ataque de piratería y la subsiguiente violación de datos sufrida por la agencia de informes crediticios Equifax en 2017 «fue totalmente prevenible». (Fuente: BankInfoSecurity)
• Las 100 peores contraseñas del 2018: después de evaluar más de 5 millones de contraseñas filtradas en Internet, SplashData descubrió que los usuarios de computadoras continúan usando las mismas contraseñas predecibles y fáciles de adivinar. (Fuente: TeamsID)
• Los memes de Twitter para entregar comandos de malware: los atacantes desarrollaron una forma de usar los memes publicados en Twitter para controlar las computadoras infectadas con RAT. Los operadores utilizan la esteganografía para ocultar las instrucciones en las imágenes, que luego el malware analiza y ejecuta. (Fuente: TechSpot)
• Cloudflare proporciona protección DDoS para sitios web terroristas:  Cloudflare se enfrenta a acusaciones de que proporciona protección contra la ciberseguridad a al menos siete organizaciones terroristas, una situación que, según algunos expertos legales, podría poner en riesgo legal. (Fuente: Gizmodo)
• Credenciales de usuarios gubernamentales encontradas en Dark Web: los investigadores del Grupo-IB descubrieron más de 40,000 cuentas de usuarios en la Web oscura que parecen ser credenciales comprometidas para sitios web de gobiernos en línea en 30 países. (Fuente: SecurityWeek)
• El ataque de firmware remoto hace que los servidores no puedan arrancar: los investigadores de seguridad han encontrado una manera de corromper el firmware de un componente crítico que generalmente se encuentra en los servidores para convertir los sistemas en un conjunto de hardware que no se puede arrancar. (Fuente: BleepingComputer)
• Cómo los hackers pasan por alto Gmail 2FA: un nuevo informe de Amnistía Internacional incluye algunos de los detalles técnicos sobre cómo los hackers pueden robar automáticamente los tokens de autenticación de dos factores que se envían a los teléfonos. (Fuente: placa base)
• La pila de cables diplomáticos de la UE se cortó: el New York Times publicó lo que dice que son extractos de cables diplomáticos de la UE hackeados obtenidos después de descubrir contraseñas que les permiten ingresar a una base de datos de mensajes y cables diplomáticos de la UE de bajo nivel. (Fuente: The Register) \

¡Mantente a salvo, todos!

Uno de los kits de exploits más interesantes que rastreamos también es un poco esquivo, y como tal no recibe el mismo escrutinio que sus homólogos de RIG y Fallout. Underminer se mencionó en nuestro resumen de otoño de 2018 , y en ese momento estaba usando CVE-2018-8174 (Internet Explorer) y CVE-2018-4878 (Flash Player hasta la versión 28.0.0.137).

A mediados de diciembre, notamos algunos cambios con Underminer que nos impulsaron a profundizar. Esto sucedió aproximadamente en el mismo período de tiempo en que estaban disponibles los nuevos días cero y la prueba de los conceptos, que suele ser un momento oportuno para que los autores de kits de explotación se integren.

Versión anterior y artefactos.

La vulnerabilidad CVE-2018-4878 es algo fácil de detectar dentro del tráfico de la red porque deja algunos artefactos atrás. De hecho, los usamos en nuestro laboratorio y los relacionamos con otros IOC.

Vista de tráfico de Underminer EK en noviembre, que muestra artefactos CVE-20184878

Como se documentó en nuestra publicación de blog anterior , Underminer usa el intercambio de claves cliente-servidor cuando entrega su exploit de IE, que cifra el código pero también evita que los analistas lo reproduzcan desde una captura de red guardada. Sin embargo, su explotación SWF hasta ahora se implementó sin tales protecciones en su lugar y, por lo tanto, podría volver a analizarse por sí solo.

Nuevo exploit de flash encubierto

El exploit parece haber cambiado a mediados de diciembre. Primero, no vimos los artefactos de Flash como lo hicimos antes, lo que nos llevó a probar este exploit con una versión más reciente de Flash (31.0.0.153).

Vista de tráfico del último Underminer EK utilizando una implementación diferente de explotación de Flash

En segundo lugar, vimos un nuevo fragmento de código dentro de la página de destino de exploits SWF que hace referencia a una función getSalt () . Esto avivó nuestra curiosidad y, al comparar varias capturas de tráfico, notamos que la función siempre devolvería valores diferentes.

Al observar la vulnerabilidad del SWF, vimos un código que interactúa con el JavaScript de la página del iniciador ( ExternalInterface.call ) y toma ese valor para pasarlo a otra función que descodifique la vulnerabilidad. Cuando intentamos reproducir el SWF malintencionado «artificialmente», no se activaría correctamente.

Malwarebytes Anti-Exploit con Flash Player 31.0.0.153

Debido a que la versión de Flash que utilizamos era 31.0.0.135 (el último Flash Player no se vio afectado en nuestras pruebas), creemos que Underminer implementó el reciente  CVE-2018-15982 .

La forma en que la carga útil final se empaqueta y ejecuta sigue siendo exclusiva de Underminer. Es lo que llamamos Hidden Bee . Hidden Bee es una carga útil personalizada que tiene módulos específicos y carece de la estructura del formato PE típico. Por esta razón, es más difícil de analizar y les da a los atacantes más flexibilidad que si en su lugar estuvieran usando shellcode simple.

Los usuarios de Malwarebytes ya están protegidos contra este kit de vulnerabilidad, ya que bloqueamos las vulnerabilidades de Internet Explorer y Flash Player.

La Navidad ya casi está sobre nosotros, y los pensamientos tal vez recurren a varios regalos digitales de una naturaleza «inteligente» . Seguridad para el hogar, hubs, altavoces, cámaras y mashups de todos esos y más además.

Con respecto a los oradores, las piezas más inmediatas de su hogar están teóricamente a su entera disposición.

Hay muchos consejos buenos sobre qué hacer con sus nuevos dispositivos. Desmarque las cajas, aumente la seguridad, tal vez elimine la característica «inteligente» por completo arrancando las baterías. Sin embargo, ¿es posible que estemos llevando las cosas demasiado lejos? ¿Están nuestras preocupaciones justificadas? ¿Hay, quizás, un punto medio un tanto feliz donde estos dispositivos puedan coexistir con nosotros sin una sensación infinita de pánico?

Bueno, probablemente no. Pero tal vez podamos aliviar algunos temores en el camino.

Ocurrirán accidentes

Esto es un hecho de la vida. Nada es 100 por ciento seguro, y nada es 100 por ciento libre de errores y contratiempos. Si bien esto es un escaso consuelo si algo sale desastrosamente mal, aceptar que nada es perfecto a veces hace mucho.

Muchas de las más «oh, no, ahora qué», las noticias sobre dispositivos de altavoces inteligentes implicaron un accidente o un uso imprevisto de la tecnología en cuestión.

De casas de muñecas, galletas y hamburguesas.

Muchos incidentes reportados son sobre interacciones accidentales entre usuarios y sus dispositivos. De particular interés es la historia de 2017 de un niño que de alguna manera logra hacer un pedido de una casa de muñecas y galletas a través de Alexa de Amazon. Esto se volvió aún más confuso cuando un segmento de televisión causó aparentemente un caos con varios intentos adicionales de órdenes. Vale la pena señalar que ninguno de esos intentos adicionales parece haber resultado en compras, por lo que o nos estamos perdiendo una parte crucial de la historia del niño o algo que realmente funciona mal en su hogar.

También tenemos bromas en South Park y el infame anuncio de Burger King que hace que Google Home le cuente a sus dueños todo sobre las hamburguesas a través de un texto leído en voz alta en Wikipedia. Si bien esto es cómico, podría haber invitado fácilmente algunos mensajes increíblemente dudosos a la casa dado que cualquiera puede editar el texto de Wikipedia. De hecho, el texto del anuncio fue saboteado . Qué mundo.

Problemas de privacidad

Las grabaciones accidentales son quizás el mayor problema potencial, y ciertamente lo más probable es que causen un problema de privacidad. En mayo de 2018, una serie de errores provocaron el envío deconversaciones privadas a un contacto aleatorio a través de un orador Echo. Esto es, por supuesto, horrendo y podría fácilmente haber terminado en un desastre dependiendo del contexto.

También es esencial que los propietarios de dispositivos lean todos los EULA y las políticas de privacidad a fondo. Son lo suficientemente complicados para juegos móviles simples, sin considerar las ramificaciones de las interacciones del mundo real. Como mencioné en el artículo de Privacy Central de Top 10 VPN sobre este mismo tema, incluso si lees muchas palabras legales , no hay garantía de que todo cambie mientras no mires.

Escuchar con atención?

La amenaza potencial de los dispositivos que siempre se escuchan es propenso a sobreescritura. El mayor problema suele ser la activación accidental, desde anuncios o ruido de fondo. Es raro que los altavoces funcionen mal y escuchen por su propia cuenta.

Los propietarios pueden desear no permitir que los dispositivos activados por voz puedan bloquear o desbloquear los puntos de entrada a la casa, ya que esta es un área de activación deliberada que podría causar el mayor daño. Ciertamente no recogen todo lo que se dice, y están configurados deliberadamente para evitarlo. Agarrar todo las 24 horas del día, los 7 días de la semana, significaría que los fabricantes de dispositivos simplemente no podrían manejar toda la información, por lo que lo mejor para ellos es ser lo más conciso y específico posible.

Como lo demuestra la reciente lista de » Privacidad no incluida » de Mozilla , la gente parece tener una fuerte aversión a los oradores inteligentes. Los dispositivos de Amazon y Google actualmente están calificados como «súper espeluznantes» por los votantes, mientras que el único orador inteligente que tiene una calificación positiva de «no espeluznante» es el código abierto Mycroft Mark 1. Con una falta de información sobre cómo funcionan los sistemas cerrados. En el hogar, tal vez tenga sentido que las personas recurran a dispositivos de código abierto donde puedan entender mejor lo que está sucediendo.

¿Cuál es la mayor área de preocupación?

Como mencioné anteriormente, creo que los dispositivos de IoT fraudulentos representan la mayor amenaza para las víctimas de abuso doméstico . Esto se debe a la facilidad de acceso a los dispositivos por parte de la persona maliciosa. La capacidad de controlar aspectos de la casa hasta el más mínimo detalle es un escenario de pesadilla potencial. Hay formas de combatir esto, pero es arriesgado y siempre sugerimos apoyo profesional y asistencia siempre que sea posible.

¿Quién dice la verdad?

Todo lo que podemos hacer es mirar la evidencia en oferta y tomar una decisión informada. Si estás de acuerdo con la posibilidad de fallas ocasionales accidentales o disparos maliciosos, estás listo para comenzar. No podemos pretender que estos dispositivos no continuarán llegando a nuestros hogares. Lo que podemos hacer es asegurarnos de tomar medidas para limitar los daños siempre que sea posible. Manténgase al tanto de las posibles amenazas a medida que aparezcan, y es de esperar que no tenga problemas en esta temporada festiva.

Ah, concursos en línea. Muchos de nosotros sabemos que, en realidad, pueden ser un tanto tontos y sin sentido, pero eso no nos impide hacer clic en el botón «Iniciar prueba». Además, tienes tiempo para matar y solo hay tres preguntas para responder, ¿verdad?

El tipo correcto de mal

Los ataques de phishing no siempre comienzan en las bandejas de entrada de su correo electrónico. Ya sea que esté en una computadora de escritorio, computadora portátil, tableta o teléfono inteligente , existen varios otros vectores donde los usuarios pueden encontrar intentos de phishing. Y créanme, no tienen un letrero luminoso de neón que podría alertar fácilmente a los usuarios de que están buscando información personal.

Los phishers han sido uno de los cibercriminales más resistentes que existen hasta la fecha. Y Katz, investigador principal de seguridad de Akamai Technologies, ha demostrado este punto una vez más.

Katz ha confirmado lo que muchos de nosotros ya hemos sospechado: los cuestionarios breves que se han compartido en Facebook, Twitter y otras redes sociales, en un informe publicado recientemente titulado “Una nueva era en Phishing: juegos, redes sociales y premios” [PDF]. Las plataformas son estafas. Y detrás de ellos hay esfuerzos sofisticados y coordinados que fueron diseñados para la exposición prolongada de los usuarios a las campañas de fraude.

Katz y su equipo han estudiado 689 campañas de phishing personalizadas que se basan en 78 nombres populares de marcas en todas las industrias. Estas marcas incluyen United Airlines, Target, Disneyland y Dunkin ‘Donuts. Todas las páginas de phishing basadas en cuestionarios siguen un formato de plantilla: hacen tres preguntas y, una vez que el usuario las responde (tenga en cuenta que no tienen que ser correctas), les prometen un premio asociado con la marca que se están haciendo pasar por alto. Por ejemplo, si el cuestionario es sobre Disneyland, los participantes podrían «ganar» pases gratuitos.

Luego, los participantes en las preguntas se dirigen a una página web que solicita información personal, por lo que pueden reclamar el premio, por supuesto, como su dirección de correo electrónico, dirección física y edad.

El kit de herramientas detrás de estas campañas de phishing “positivas”

Los kits de suplantación de identidad (phishing) son un elemento básico para el arsenal de fraude de phishing grave. Estas herramientas ingeniosas y reutilizables son populares en el mercado subterráneo porque realizan la mayor parte del trabajo con poco esfuerzo de los estafadores. También hace que la creación de campañas de phishing sea mucho más rápida.

De acuerdo con esta publicación del blog que acompaña al documento de Akamai, los kits de phish basados ​​en cuestionarios que estudiaron utilizan las siguientes tácticas de ingeniería social para ganarse la confianza del usuario:

• Un sitio web personalizado de «marca», en el que muestran logotipos y marcas de compañías de confianza que utilizan para atraer objetivos y hacer que se sientan cómodos para responder las preguntas del cuestionario.
• Un llamado a la acción, en el que crean un sentido de urgencia, por lo que el objetivo probablemente complete el cuestionario o dé información sin pensarlo. Un ejemplo de esto es afirmar que el premio de alto valor solo puede ser ganado por un número limitado de participantes, por lo que necesitan avanzar.
• Múltiples respaldos falsos en las redes sociales, en los que se utilizan perfiles de redes sociales falsos para fortalecer la legitimidad de la oferta de la supuesta marca. Al mostrar al objetivo que varias personas ya han ganado y reclamado el premio, el objetivo dudaría menos. También se requiere que el objetivo comparta el enlace al cuestionario en los canales de redes sociales, una estafa de encuestaclásica .

Capturas de pantalla de sitios de muestra que utilizan el mismo kit de phish para la estafa del cuestionario de tres preguntas (Cortesía de Akamai Technologies)

Otros hallazgos de la campaña de phishing

• Las marcas abusadas por los phishers en su campaña son compañías que pertenecen a las aerolíneas, al por menor y las industrias de alimentos y bebidas.
• El 82 por ciento de los dominios reales utilizados en estas campañas de phishing han aprovechado los errores de typosquatting .
• Las versiones más recientes del kit de phishing incluyen funciones adicionales, como la traducción automática, que hace que la estafa sea accesible para personas que no hablan inglés, y nuevos perfiles de redes sociales falsos, lo que hace que la estafa sea más confiable y dinámica.
• Las campañas de phishing que utilizan las redes sociales son más efectivas en comparación con el phishing tradicional.

Una nueva campaña de phishing a tener en cuenta.

Akamai ha predicho que las campañas de phishing de esta naturaleza, o aquellas que tienen un aspecto positivo en lugar de uno negativo, como en el phishing tradicional, solo aumentarán en el futuro. En lugar de usar tácticas de miedo, los phishers ahora han aprendido a explotar la mecánica del juego y aprovechar la curiosidad y el deseo de regalos de las personas. En el proceso, los phishers han hecho que los usuarios de Internet sean receptivos a ellos, sin que los usuarios se den cuenta.

Se recomienda a los usuarios que sean más vigilantes y críticos cuando se trata de ofertas de regalos en línea, independientemente de la forma en que se presenten, hasta que hayan verificado que las ofertas son legítimas. Si bien puede ser divertido perder el tiempo en las pruebas que un contacto ha compartido en Facebook, sería prudente darle un pase, y tal vez advertir al pobre compañero a través de PM que podría haber sido engañado para que entregue su información personal a estafadores

Twitter  anunció en una publicación de blog  el lunes que descubrieron y abordaron una falla de seguridad en uno de sus formularios de soporte. El descubrimiento se realizó el 15 de noviembre, hace más de un mes, y se reparó rápidamente al día siguiente. Desde el blog de Twitter sobre este tema:

Nos hemos dado cuenta de un problema relacionado con uno de nuestros formularios de soporte, que es usado por los titulares de las cuentas para contactar a Twitter sobre problemas con su cuenta. Esto podría usarse para descubrir el código de país de los números de teléfono de las personas si tenían uno asociado con su cuenta de Twitter, así como si Twitter había bloqueado o no su cuenta.

Continúan añadiendo:

Es importante destacar que este problema no expone números de teléfono completos ni ningún otro dato personal. Hemos informado directamente a las personas que hemos identificado como afectadas. Le enviamos este aviso más amplio, ya que es posible que otros titulares de cuentas que no podemos identificar se hayan visto afectados.

Códigos de país, llévame a casa

Si bien un código de país no es tratado o considerado por muchos como información confidencial, algunos advierten  que es suficiente para dar una pista a los atacantes sobre si un número de móvil registrado (con código de país) está asociado con una cuenta de Twitter. Esto significa que los ciberdelincuentes podrían encontrar las verdaderas ubicaciones de los países de los usuarios de Twitter. Esto podría ser peligroso para aquellos en países con problemas de privacidad relacionados con la libertad de expresión.

Actualmente, Twitter está investigando la posibilidad de que los actores potenciales del estado nación hayan abusado de la falla, particularmente  de las direcciones IP asociadas con Arabia Saudita y China.

Como si esto no fuera un dolor de cabeza suficiente para el gigante de los medios sociales, Peerzada Fawaz Ahmad Qureshi, un investigador de seguridad independiente que pasa por @Fawaz en Twitter, ha dado un paso adelante  para revelar que había informado de la falla a Twitter a través de HackerOne, un  Plataforma de recompensas de errores , hace más de dos años. Sin embargo, Twitter no realizó ninguna acción, ya que considera que el error no es crítico antes de marcar el informe como «informativo».

¡Espere! Eso no es todo

Este anuncio llega poco después de un informe de Trend Micro  sobre usuarios malintencionados de Twitter que abusan de la plataforma de redes sociales para comunicarse sigilosamente con malware mediante la  estenografía , el método de ocultar mensajes en imágenes. En este caso, los actores maliciosos tienen comandos ocultos en los memes que se encuentran en todos los rincones de Twitter, ocultos a simple vista en su máxima expresión.

Esta no es la primera vez que se usa Twitter como centro de comunicaciones para el malware. En 2009, se descubrió un kit de botn de bricolaje que llevó a las masas a controlar las infecciones controladas por las redes sociales, permitiendo a los autores de malware con habilidades rudimentarias utilizar Twitter para enviar comandos.

Stock, drop, y roll

Fuera de la acción del bot, la noticia de la investigación de Twitter provocó una caída dramática  en los precios de las acciones de la compañía. Promete ser una montaña rusa que termina en 2018 para aquellos que intentan mantener a Twitter y sus usuarios a salvo.

Si utiliza la plataforma de redes sociales y está preocupado por una posible violación, el consejo de Twitter es simplemente: no hacer nada. Si bien estos contratiempos pueden haber sido llamados directos en lugar de visitas directas, se espera que en 2019, todos seamos un poco más proactivos, y mucho más tranquilos, sobre el uso seguro de nuestros portales y canales de comunicación favoritos.

Cuando la gente piensa en piratear, la mayoría se imagina computadoras de escritorio, computadoras portátiles o incluso cámaras de seguridad. Sin embargo, en los últimos años, los ciberdelincuentes han ampliado su repertorio para incluir también los teléfonos inteligentes. Aquí hay 10 razones por las que pueden estar buscando hackear tu teléfono.

1. Infectarlo con malware.

Muchos usuarios de teléfonos inteligentes asumen que pueden mantenerse a salvo del malware y otras amenazas al instalar aplicaciones antivirus en sus teléfonos y tener más cuidado con los sitios web que visitan. Por lo general, no esperan que sus teléfonos tengan malware fuera de la caja. Sin embargo, los investigadores demostraron que eso es lo que sucedió con más de tres docenas de modelos de Android , generalmente de marcas menos conocidas.

Los teléfonos tenían instalado un malware troyano antes de llegar a los usuarios, y el culpable parecía ser un proveedor de software en Shanghai que era un distribuidor compartido de una marca de software antivirus. Aunque no está claro qué querían hacer los piratas después de infectar los teléfonos, el malware fue particularmente difícil de eliminar. A menudo, implicaba reinstalar completamente el sistema operativo.

2. Para escuchar las llamadas.

Las personas usan sus teléfonos para hablar con sus seres queridos, hablar sobre planes de negocios, hablar sobre sus viajes, todo tipo de contenido personal e íntimo. Por lo tanto, no es sorprendente que los criminales quieran entrar y escuchar, ya sea para atacar a un objetivo o simplemente por placer voyerista. Pero, ¿cómo lo hacen?

Hay una falla en el intercambio de celulares en los EE. UU., La vulnerabilidad conocida como SS7, que permite a los piratas informáticos escuchar llamadas, leer textos y ver las ubicaciones de los usuarios después de conocer sus números de teléfono . A pesar de que las agencias estadounidenses conocen el problema, no han tomado medidas decisivas para solucionarlo, lo que pone en riesgo la privacidad de los estadounidenses.

3. robar dinero

Los ataques de ransomware causan dolores de cabeza a los usuarios de computadoras al hacer que las máquinas afectadas se bloqueen o retengan los archivos como rehenes hasta que la gente pague el rescate para restaurar el acceso. Incluso entonces, el pago no garantiza un retorno a la funcionalidad adecuada. Sin embargo, el ransomware no solo afecta a las computadoras. Hay una tendencia reciente de ransomware móvil , que a menudo se origina en aplicaciones maliciosas de terceros.

En un ejemplo, una aplicación de terceros prometió optimizar el sistema Android pero en realidad engañó a las personas para que transfirieran $ 1,000 de sus cuentas de PayPal . El proceso de inicio de sesión fue legítimo, por lo que no fue un intento de phishing. Sin embargo, una vez que la gente inició sesión, un troyano automatizó la transferencia de PayPal.

4. Para chantajear a la gente.

El crimen de chantaje no es nuevo, pero los actores de amenazas reconocen que la pequeña computadora en los bolsillos y carteras de las personas probablemente tiene más información personal almacenada que una computadora de escritorio o una computadora portátil. Y primero pueden impedir que las personas accedan a sus teléfonos antes de amenazar con filtrar la información que encuentren.

Los delincuentes pueden iniciar el pirateo después de obtener cierta información personal de una víctima que está disponible en el mercado negro debido a una violación anterior, no relacionada. Luego usan esa información para ponerse en contacto con la compañía telefónica de la víctima y hacerse pasar por el usuario, diciendo que quieren transferir el número a un nuevo teléfono. Las compañías telefónicas a menudo proporcionan dichos servicios y pueden transferir automáticamente información, incluidos números de teléfono, a un nuevo dispositivo. El problema es que, en este caso, el teléfono antiguo aún funciona, pero es inútil para la persona que lo posee.

Después de que los piratas informáticos tomen el control de un teléfono de esta manera, el escenario está preparado para delitos más graves, como el chantaje. Si una persona tenía números esenciales en su teléfono que no estaban respaldados en otra parte, fácilmente podrían sentirse presionados a ceder ante las demandas de los hackers para evitar peores consecuencias.

5. Dañar tu teléfono.

Los hackers sienten que han logrado un objetivo al provocar el caos para las víctimas. Una forma de hacerlo es hacer que el teléfono se sobrecaliente y finalmente arruinarlo. Los investigadores de seguridad advirtieron que los piratas informáticos podrían entrar en el procesador de un teléfono y utilizarlo para la criptomoneda . Además de desacelerar el teléfono, ¡también puede hacer que el teléfono se caliente demasiado o incluso que explote!

Hay muchos dispositivos de refrigeración confiables que se utilizan en los teléfonos celulares para la gestión de la temperatura, incluso las soluciones «inteligentes» de gestión de la temperatura que calientan la batería de su teléfono cuando hace demasiado frío y se enfrían cuando hace demasiado calor. Sin embargo, si los hackers se salen con la suya, incluso los componentes internos que normalmente son suficientes podrían dejar de mantener el dispositivo lo suficientemente fresco.

Un tipo de malware criptográfico llamado Loapi a menudo se oculta en aplicaciones que aparecen como juegos descargables. Los investigadores de seguridad realizaron una prueba y descubrieron que realmente hizo que la batería de un teléfono aumentara debido al calor excesivo después de solo dos días.

6. Amenazar a la seguridad nacional.

Innumerables analistas han intervenido para decir que el supuesto uso de dispositivos móviles inseguros por parte del presidente Trump podría ayudar a los adversarios extranjeros a recopilar información sobre los Estados Unidos que podría amenazar a la nación o al menos dar información sobre las acciones previstas del presidente.

En 2018, Billy Long, un congresista republicano, había pirateado su teléfono móvil y su cuenta de Twitter. Los ciberdelincuentes saben que una de las principales formas en que los políticos interactúan con sus seguidores es a través de las redes sociales.

Además de amenazar la seguridad nacional de manera más directa, estos piratas informáticos podrían erosionar la confianza que los políticos han creado con sus audiencias, especialmente con publicaciones falsas que parecen provenir de los verdaderos dueños de las cuentas.

Los ciberdelincuentes saben que al piratear los teléfonos móviles y las cuentas de redes sociales de los políticos, contribuyen a la opinión pública general de que no se puede confiar en los políticos. En lugar de buscar información en la fuente, los usuarios pueden buscar noticias a través de fuentes que son incluso menos confiables o diseñadas estratégicamente para difundir noticias falsas.

7. Por diversión o notoriedad.

Algunos hackers se emocionan al realizar sus ataques con éxito. El hacking es una fuente de entretenimiento para ellos, así como un impulso para el ego. Si el dinero no es el principal motivador para los delincuentes cibernéticos , la notoriedad podría ser un segundo lugar. Los piratas informáticos pueden entrar en los teléfonos porque es un desafío más reciente que podría requerir técnicas de desarrollo de malware más avanzadas. En última instancia, muchos ciberdelincuentes desean la aprobación de otros en la industria y desean su respeto.

8. Obtener información de pago.

Los monederos electrónicos, que almacenan la información de pago dentro de las aplicaciones de teléfonos inteligentes para que las personas no tengan que llevar tarjetas de crédito o débito reales, son convenientes. Sin embargo, su creciente popularidad ha dado a los piratas informáticos otra razón para apuntar a los teléfonos.

A menudo, los cibercriminales incitan a las personas a descargar aplicaciones de pago móviles falsas (por supuesto, creen que son reales). Luego, una vez que las personas ingresan su información de pago, los piratas informáticos tienen la información necesaria para cargar transacciones a las tarjetas.

9. Porque mucha gente lo usa.

Dado que los piratas informáticos quieren que sus ataques tengan beneficios importantes, saben que pueden aumentar sus posibilidades de tener un gran impacto al apuntar a los teléfonos inteligentes. La información publicada por el Pew Research Center muestra que el 95 por ciento de los estadounidenses posee teléfonos inteligentes . Para poner eso en perspectiva, solo el 35 por ciento de la población lo hizo en 2011, cuando la organización realizó por primera vez una encuesta sobre la propiedad de teléfonos inteligentes.

Además, una investigación diferente de otra organización revela que el uso de Internet móvil está superando al tiempo de escritorio. Las personas se sienten cada vez más cómodas con el uso de sus teléfonos inteligentes para conectarse, navegar e incluso comprar. Como tales, no importa qué tipo de hackers organizan los ciberdelincuentes, pueden encontrar muchas víctimas al enfocarse en usuarios de teléfonos inteligentes.

10. Porque es un blanco fácil.

La investigación muestra que las aplicaciones móviles tienen problemas de seguridad rampantes. Esto les da a los delincuentes la oportunidad de infiltrarse en aplicaciones inseguras en lugar de los teléfonos.

En un caso, aproximadamente 40 de las 50 aplicaciones de compras principales tenían al menos algunas vulnerabilidades de seguridad de alto nivel que permitían a los piratas informáticos ver información personal o engañar a los usuarios al atraerlos a aplicaciones peligrosas que eran copias de los originales.

Investigaciones adicionales sobre aplicaciones de citas problemáticas descubrieron que muchas de ellas brindan a terceros acceso a datos no cifrados a través de kits de desarrollo de software (SDK) vulnerables. Los hackers saben que algunas aplicaciones alcanzan cientos de miles, o incluso millones. de descargas. Si pueden acceder a ellos, obtendrán acceso rápido a los teléfonos que tienen esas aplicaciones instaladas y a las personas que las usan.

Cómo mantenerse protegido

Estos ejemplos muestran que los piratas informáticos tienen un sinnúmero de razones para hackear teléfonos y aún más formas de hacerlo realidad. Una forma fácil de protegerse contra los ataques es evitar las tiendas de aplicaciones de terceros y solo descargar contenido de las tiendas de aplicaciones legítimas del teléfono, como Google Play o iTunes. Sin embargo, los actores de amenazas también pueden penetrar en esas plataformas, y muchas aplicaciones infectadas o deshonestas se han abierto paso .

También es inteligente controlar las estadísticas del teléfono, como la duración de la batería y el número de aplicaciones en ejecución. Si se desvían demasiado de la norma, es una señal de que los piratas informáticos no son buenos para el fondo.

La ejecución de un análisis antivirus móvil al menos una vez al mes o la instalación de un programa de ciberseguridad siempre activo es otra buena estrategia, pero solo si la aplicación proviene de una fuente confiable , como el sitio oficial del proveedor.

En lugar de estar demasiado ansioso por descargar nuevas aplicaciones, lo ideal sería que la gente tenga precaución y solo lo haga si numerosas fuentes de comentarios indican que están libres de fallas de seguridad importantes. Algunas compañías de desarrollo de aplicaciones tienen tanta prisa por llegar al mercado con sus últimas ofertas que no hacen de la seguridad una prioridad.

Además de estos consejos más específicos, es esencial que las personas estén muy conscientes de cómo interactúan con sus teléfonos. Por ejemplo, las ventanas emergentes extrañas o las redirecciones en el navegador de un teléfono, o los íconos aleatorios que aparecen sin haber descargado una nueva aplicación podrían indicar problemas, y las personas no deben asumir que todo está bien. En caso de duda, es mejor dejar de usar el teléfono y obtener algunas respuestas, antes de que los piratas informáticos aprendan todo lo que necesitan saber sobre usted.

La semana pasada en Labs, echamos un vistazo a un nuevo malware para Mac , una colección de varios volcados de datos rastreados , la protección de las redes eléctricas y la forma en que los actores malos utilizan las vulnerabilidades de las PYMES . 

Otras noticias de ciberseguridad.

• Millones afectados por el error de la API de fotos de Facebook: un problema otorgado a las aplicaciones de terceros más acceso a las fotos que normalmente debería otorgarse, incluidas las imágenes cargadas pero no publicadas. (fuente: Facebook)
• Las amenazas de bomba pueden ser un engaño: un correo electrónico en circulación que exhorta a los pagos de rescate en Bitcoin para que no se detonen las bombas en los EE. UU. Puede ser una falsificación , según la policía estadounidense. (fuente: el registro)
• Hombre encarcelado por delitos de fraude: un hombre en el Reino Unido ha sido encarcelado por participar en actividades fraudulentas. El principal punto de interés es seguramente el espectacular dispositivo que construyó. (fuente: Met Police)
• Otro error de Google Plus: durante seis días, los desarrolladores pudieron acceder a datos de perfil quelos usuarios no hicieron públicos. (fuente: Google)
• Recopilación de datos de Windows 10: los usuarios de Reddit se quejaron de que Windows 10 está capturando cierto tipo de datos, incluso con la configuración deshabilitada. (fuente: Cómo Geek)
• El concierto de Taylor Swift rastrea a acosadores con software de reconocimiento facial: en un evento reciente, se implementó tecnología de vanguardia para garantizar que las multitudes estuvieran libres de posibles alborotadores . (Fuente: Rolling Stone)
• Desastres de contraseñas de 2018: una mirada irónica a algunos de los contratiempos más espectaculares de contraseñas que se han visto este año. (Fuente: Help Net Security)
• El troyano Android se roba de las cuentas de PayPal: incluso con 2FA habilitado, puede que no sea suficiente para mantener seguro el saldo de su cuenta. (Fuente: ESET)
• El reconocimiento de caracteres recopila las URL en los videos de YouTube: en teoría, los datos privados en los videos ocultos pueden no ser tan privados como se esperaba. (Fuente: blog de Austin Burk)
• Los datos de los viajeros se quedan en las memorias USB: los agentes de frontera no son tan cuidadosos como deberían en lo que respecta a los datos de pasajeros potencialmente sensibles. (Fuente: Naked Security)

¡Mantente a salvo, todos!

Algunas de las variantes de malware de ransomware y troyanos más devastadoras dependen de las vulnerabilidades en el Bloqueo de mensajes del servidor de Windows (SMB) para propagarse a través de la red de una organización. Windows SMB es un protocolo utilizado por las PC para compartir archivos e impresoras, así como para acceder a servicios remotos.

Microsoft lanzó un parche para las vulnerabilidades de SMB en marzo de 2017, pero muchas organizaciones y usuarios domésticos aún no lo han aplicado. Así que ahora, los sistemas no parcheados permiten amenazas que aprovechan estas vulnerabilidades en el interior, lo que ayuda a que las campañas de malware activo se propaguen como incendios forestales de California.

Las vulnerabilidades de SMB han sido tan exitosas para los actores de amenazas que se han utilizado en algunos de los brotes de ransomware más visibles y en los sofisticados ataques de troyanos de los últimos dos años. De hecho, la telemetría de nuestro producto ha registrado 5,315 detecciones de Emotet y 6,222 de TrickBot en redes empresariales, dos variantes de troyanos que utilizan las vulnerabilidades de SMB, solo en los últimos 30 días.

¿Qué los hace tan efectivos?

Lo que hace que un malware sea tan extendido es la forma en que se propaga. Si bien las campañas masivas de spam solo generan algunas víctimas que realmente rinden frutos, una infección similar a un gusano que se sigue propagando requiere poco esfuerzo para multiplicar los rendimientos. Y eso es exactamente lo que las vulnerabilidades de SMB permiten que hagan sus cargas útiles: se extienden lateralmente a través de sistemas conectados.

Por ejemplo, el ransomware WannaCry (también conocido como WannaCrypt), que usó una de las vulnerabilidades de SMB, se lanzó en mayo de 2017, pero la infección continúa expandiéndose. A continuación se muestra el gráfico que muestra nuestra telemetría para Ransom.WannaCrypt para el mes de noviembre de 2018 .

Han pasado más de 1,5 años, y WannaCry continúa proliferando, gracias a la gran cantidad de máquinas no parcheadas conectadas a redes infectadas.

¿Cómo se llegó a esto?

En este momento, hay tres exploits en la naturaleza que utilizan vulnerabilidades de SMB. Estas hazañas han sido bautizadas como EternalBlue (usada por WannaCry y Emotet), EternalRomance (NotPetya, Bad Rabbit y TrickBot), y EternalChampion. Hay una cuarta vulnerabilidad llamada EternalSynergy, pero solo hemos visto una Prueba de concepto (PoC), nada ha aparecido todavía en la naturaleza.

Todas estas hazañas fueron filtradas por el Grupo ShadowBrokers , quien supuestamente las robó de la NSA. Menos de un mes después de que los ShadowBrokers publicaran sus «hallazgos», el primer malware completamente funcional que usó el exploit EternalBlue, WannaCry, se encontró en su hábitat natural.

Desde entonces, múltiples ataques de malware a gran escala se han basado en las vulnerabilidades de las PYMES para penetrar en las redes de las organizaciones, incluidas las campañas de ransomware NotPetya y Bad Rabbit en 2017, y ahora los ataques Emotet y TrickBot Trojan, que se han llevado a cabo durante el tercer y cuarto lugar. trimestre de 2018.

Ahora echemos un vistazo más cercano y técnico a cada exploit y cómo funcionan.

EternalBlue

Un error en el proceso de conversión de atributos extendidos de archivos (FEA) de la estructura OS2 a la estructura NT mediante la implementación de Windows SMB puede provocar un desbordamiento de búfer en el grupo del kernel no paginado. Este grupo no paginado consta de direcciones de memoria virtual que se garantiza que residen en la memoria física mientras se asignen los objetos del núcleo correspondientes.

Un desbordamiento de búfer es un defecto de programación que permite que los datos escritos en un área de memoria reservada (el búfer) salgan de los límites (desbordamiento), lo que le permite escribir datos en ubicaciones de memoria adyacentes. Esto significa que los atacantes pueden controlar el contenido de ciertas ubicaciones de memoria a las que no deberían poder acceder, que los atacantes explotan en su beneficio. En el caso de EternalBlue, pueden controlar el contenido de un montón que tiene permiso de ejecución, lo que lleva a la vulnerabilidad de ejecución remota de código (RCE), o la capacidad de ejecutar comandos en una máquina de destino a través de la red.

EternalRomance

Eternal Romance es un ataque RCE que explota CVE-2017-0145 contra el protocolo de intercambio de archivos SMBv1. Tenga en cuenta que el uso compartido de archivos a través de SMB normalmente se usa solo en redes locales, y los puertos SMB generalmente están bloqueados desde Internet por un firewall. Sin embargo, si un atacante tiene acceso a un punto extremo vulnerable que ejecuta SMB, la capacidad de ejecutar código arbitrario en el contexto del kernel desde una ubicación remota es un compromiso serio.

En el núcleo de este exploit se encuentra una vulnerabilidad de tipo confusión. Las vulnerabilidades de confusión de tipo son fallas de programación que ocurren cuando un fragmento de código no verifica el tipo de objeto que se le pasa antes de usarlo. La confusión de tipos puede permitir a un atacante introducir punteros o datos de función en el código incorrecto. En algunos casos, esto puede llevar a la ejecución del código.

En otros casos, la vulnerabilidad de la confusión de tipo conduce a una escritura de montón arbitraria, o la pulverización del montón La pulverización en heap es un método que se usa normalmente en explotaciones que coloca grandes cantidades de código en una ubicación de memoria que el atacante espera que se lea. Por lo general, estos bits de código apuntan al inicio del código real que el exploit desea ejecutar para comprometer el sistema que está bajo ataque.

Una vez finalizada la aplicación, el exploit utiliza una filtración de información en una transacción TRANS_PEEK_NMPIPE. Utiliza la filtración de información para determinar si el destino está ejecutando una versión de Windows de 32 o 64 bits y para obtener los punteros del kernel para varios objetos SMB.

Campeón Eterno

El problema explotado por EternalChampion es una condición de carrera en cómo SMBv1 maneja las transacciones. Una condición de carrera, o peligro de carrera, es el comportamiento de un sistema donde la salida depende de la secuencia o el tiempo de otros eventos incontrolables. Se convierte en un error cuando los eventos no ocurren en el orden previsto por el programador. A veces, estos errores pueden ser explotados cuando el resultado es predecible y funciona en beneficio de los atacantes.

Mientras tanto, una transacción es un tipo de solicitud que potencialmente puede abarcar varios paquetes. Por ejemplo, si una solicitud es demasiado grande para caber en un solo bloque de mensajes del servidor (SMB), se puede crear una transacción del tamaño apropiado, y esto almacenará los datos tal como se reciben de varias SMB.

Esta vulnerabilidad se explota de dos maneras: primero para una fuga de información y segundo para la ejecución remota de código. El error se explota primero para filtrar información de la agrupación a través de una lectura fuera de los límites. Para hacer esto, se envía al servidor un único paquete que contiene múltiples SMB. Este paquete contiene tres piezas relevantes:

• Una solicitud de transacción primaria que se ejecutará de inmediato.
• Una solicitud de transacción secundaria que activa el error causado por la condición de carrera.
• Conjuntos de transacciones primarias que acumulan el grupo con la intención de colocar una estructura de transacción inmediatamente detrás de la que rastrea la primera solicitud de transacción primaria.

Primero, se crea una transacción que contiene el shellcode. Esto no inicia el exploit, solo contiene la carga útil de la segunda etapa. A continuación, se envía un paquete que contiene múltiples SMB. El paquete contiene todos los datos de transacción esperados y comienza la ejecución inmediatamente.

El controlador de transacción secundario copia los datos de la solicitud de transacción secundaria si encaja en el búfer. Excepto debido a la condición de carrera, el puntero ahora apunta a la pila del subproceso de los manejadores de solicitud de transacción primaria (a diferencia del búfer de agrupación esperado). Esto permite que un atacante escriba sus datos directamente en la pila de otro hilo.

El atacante tiene control sobre el desplazamiento, por lo que puede elegir la cantidad de datos para copiar y luego copiarlo. Esto les permite sobrescribir con precisión una dirección de retorno almacenada en la pila del subproceso del manejador de solicitud de transacción principal, y da como resultado la capacidad de ejecución remota de código.

Sinergia eterna

La Prueba de concepto para EternalSynergy muestra que los mensajes SMB entrantes son copiados por un controlador inicial en el búfer de transacción correspondiente. Pero el controlador asume automáticamente que la dirección proporcionada es el comienzo del búfer. Sin embargo, durante una transacción de escritura, se asume automáticamente que la misma dirección es el final de los datos existentes, y la dirección que apunta al comienzo del búfer se actualiza en consecuencia.

Esto significa que un atacante puede construir un mensaje secundario en la transacción para apuntar más allá del inicio del búfer, lo que resulta en un desbordamiento del búfer durante la acción de copia.

EternalRocks

Buscando información sobre estos exploits SMB, también puede encontrarse con un exploit llamado EternalRocks. EternalRocks no se incluyó en el lanzamiento de ShadowBrokers, sino que se construyó y se descubrió más tarde. EternalRocks usa siete herramientas NSA donde, por ejemplo, WannaCry solo usó dos (EternalBlue y otra llamada DoublePulsar).

Prevención y remediación.

A pesar del poder significativo que las vulnerabilidades de las PYMES tienen para los atacantes, existe un remedio simple para evitar que se vuelvan problemáticos.

Parche sus sistemas.

Los sistemas operativos de Windows vulnerables a los ataques que se encuentran en el mundo salvaje son anteriores a Windows 10. La mayoría de los ataques solo funcionan en Windows 7 y versiones anteriores, y Microsoft lanzó parches para las vulnerabilidades que se filtraron en el Boletín de seguridad de Microsoft MS17-010 . Esto deja poca o ninguna razón para que las redes sean vulnerables a estos ataques, sin embargo, el número de víctimas actuales es abrumador.

Al aplicar el parche lanzado por Microsoft en 2017, todos sus dolores de cabeza eternos pueden desaparecer mágicamente. Y como medida adicional, también le recomendamos que actualice y actualice todos los sistemas, navegadores y software lo antes posible para reforzar cualquier otra posible vulnerabilidad en la red.

Además, muchas soluciones de ciberseguridad, como Malwarebytes Endpoint Protection , ofrecen una tecnología innovadora contra la explotación que puede impedir que amenazas como EternalBlue dejen caer sus cargas útiles e infecten sistemas.

Por ejemplo, el módulo anti-exploit de Malwarebytes detectó a WannaCry como Ransom.WannaCryptdesde el principio. A continuación, creamos un mapa de calor utilizando nuestra telemetría, que muestra dónde comenzó la infección y qué tan rápido se extendió por todo el mundo.

Es por una buena razón que la mayoría de las guías de ciberseguridad aconsejan a los usuarios realizar parches rápidamente y mantener los sistemas actualizados. Muchas de las infecciones que se observan hoy podrían evitarse con un monitoreo constante y un mantenimiento básico de la computadora. Desafortunadamente, muchas empresas creen que no tienen el tiempo o la mano de obra para seguir este consejo. Pero cuando las empresas dejan sus redes desprotegidas, comprometen la integridad de todas nuestras experiencias en línea, especialmente cuando las vulnerabilidades de las PYMES permiten que las infecciones se propaguen tan rápidamente.

No seas una de esas empresas. ¡Protégete y mantente actualizado!