Vulnerabilidades de plugin explotadas en esquemas de monetización de tráfico

Vulnerabilidades de plugin explotadas en esquemas de monetización de tráfico.

Vulnerabilidades de plugin explotadas en esquemas de monetización de tráfico.

Publicado: 26 de marzo de 2019 por 

En su  Informe de tendencias de hackeo de sitios web, la compañía de seguridad web Sucuri observó que las infecciones de WordPress aumentaron a 90 por ciento en 2018. Un aspecto de las infecciones del Sistema de gestión de contenido (CMS) que a veces se pasa por alto es que los atacantes no solo persiguen a los propios CMS: WordPress, Drupal , etc., pero también complementos y temas de terceros.

Si bien los complementos son útiles para proporcionar funciones adicionales para sitios web administrados por CMS, también aumentan la superficie de ataque. No todos los complementos se mantienen o protegen regularmente, y algunos incluso son abandonados por sus desarrolladores, dejando atrás errores que nunca se solucionarán.

En los últimos meses, hemos notado que los actores de amenazas aprovechan varias vulnerabilidades de complementos de alto perfil para redirigir el tráfico hacia varios esquemas de monetización, dependiendo de la geolocalización de un visitante y otras propiedades. La vulnerabilidad del complemento de cumplimiento GDPR de WordPress y las vulnerabilidades más recientes de Easy WP STMP y Social Warfare son algunos ejemplos de ataques oportunistas rápidamente adoptados en la naturaleza.

Infraestructura de redireccionamiento

Los sitios web pirateados se pueden monetizar de diferentes maneras, pero uno de los más populares es secuestrar el tráfico y redirigir a los visitantes hacia estafas y ataques.

Comenzamos a ver la última campaña de inyección siguiendo las notas del blog de Sucuri sobre el XSS almacenado de día cero de Social Warfare . De acuerdo con los datos de registro, la explotación automatizada intenta cargar contenido de una pasta de Pastebin , que se puede ver a continuación. El código ofuscado revela uno de los dominios utilizados por los actores de amenazas:

Fragmento de código de Pastebin utilizado en ataques automatizados contra complementos vulnerables

Nuestros rastreadores identificaron un esquema de redireccionamiento a través de la misma infraestructura relacionada con estos hacks de complementos recientes. A los sitios web comprometidos se les inyecta un código muy ofuscado que decodifica  setforconfigplease [.] Com (el mismo dominio que se encuentra en el código de Pastebin).

Código ofuscado inyectado en sitio pirateado

La primera capa de redireccionamiento va a los dominios alojados en  176.123.9 [.] 52 y 176.123.9 [.] 53 que realizarán la segunda redirección a través de un dominio .tk. Denis de Sucuri ha rastreado la evolución y rotación de estos dominios durante los últimos días.

Denis@unmaskparasites

New domain used in the «Easy WP SMTP» and «Social Warfare» (and some other) attacks — redrentalservice[.]com — registered 2019-03-21. Replacement for setforconfigplease[.]com (registered on March 4). https://blog.sucuri.net/2019/03/0day-vulnerability-in-easy-wp-smtp-affects-thousands-of-sites.html  and https://blog.sucuri.net/2019/03/zero-day-stored-xss-in-social-warfare.html 

Zero-Day Stored XSS in Social Warfare

A zero-day vulnerability has just appeared in the WordPress plugin world, affecting over 70,000 sites using the Social Warfare plugin. The plugin is vulnerable to a Stored XSS (Cross-Site Scripting)…

blog.sucuri.net

See Denis’s other Tweets

Basados ​​en nuestra telemetría, la mayoría de los usuarios redirigidos en esta campaña son de Brasil, seguidos por los Estados Unidos y Francia:

Top detecciones basadas en el país de origen de los visitantes.

Estafas, publicidad maliciosa, y más.

El objetivo de esta campaña (y otros similares) es la monetización del tráfico. A los actores de amenazas se les paga para redirigir el tráfico de sitios comprometidos a una variedad de estafas y otros esquemas de generación de ganancias. En los últimos meses, hemos estado siguiendo esta campaña de redirección activa que involucra la misma infraestructura descrita anteriormente.

Hacer un seguimiento de cualquier amenaza en curso da una idea del libro de jugadas del actor de la amenaza, ya sea que los cambios sean grandes o pequeños. El código puede ir a través de iteraciones, desde texto claro a ofuscado, o tal vez puede contener nuevas características.

Si bien hay literalmente docenas de cargas útiles finales basadas en la geolocalización y el tipo de navegador entregados en esta campaña, nos centramos en algunas de las más populares que las personas pueden encontrar. Al secuestrar el tráfico de miles de sitios web pirateados, los ladrones toman las huellas dactilares y redirigen a sus víctimas mientras intentan evitar ser bloqueados.

 

Redirecciones de tráfico por tipo de carga útil

Armarios de navegador y estafas de soporte técnico

Históricamente, hemos visto esta sub campaña como uno de los principales proveedores de armarios de navegador, utilizados por estafadores de soporte técnico. Los nuevos dominios con el .tk TLD se generan cada pocos minutos para que actúen como redirectores a los candados. En octubre de 2018, Sucuri mencionó esta campaña activa que abusaba de los viejos temas tagDiv y las versiones sin parches del complemento Smart Google Code Inserter.

Los armarios de los navegadores siguen siendo una herramienta popular de ingeniería social para asustar a las personas y hacerles pensar que sus computadoras están infectadas y cerradas. Si bien no hay malware real involucrado, hay partes inteligentes de JavaScript que han provocado dolores de cabeza a los proveedores de navegadores. El «cursor malvado» es uno de esos trucos que impide que los usuarios cierren una pestaña o ventana del navegador, y recientemente se ha corregido .

Browlock instando a las víctimas a llamar al soporte falso de Microsoft

Fraude publicitario y clickjacking

Un caso particular que documentamos se refiere a fraude de anuncios a través de sitios de señuelos que parecen blogs para mostrar anuncios de Google. Este esquema fraudulento se  expuso  en agosto y muestra cómo el tráfico de sitios pirateados puede generar $ 20,000 en ingresos publicitarios por mes.

Sin embargo, en un giro implementado poco después, los estafadores engañaron a los usuarios que intentaron cerrar el anuncio y secuestraron su mouse para hacer clic en el anuncio. De hecho, a medida que mueve el cursor del mouse hacia la X, el banner del anuncio se desplaza hacia arriba y en lugar de cerrar el anuncio, su clic lo abre.

Los delincuentes utilizan el código CSS que se adjunta dinámicamente a la página que monitorea el cursor del mouse y reacciona cuando aparece sobre la X. El tiempo es importante para capturar el clic unos pocos milisegundos más tarde cuando el banner del anuncio está enfocado. Estos trucos del lado del cliente se implementan para maximizar las ganancias de los anuncios, ya que los ingresos generados por los clics de anuncios son mucho más altos.

Código CSS responsable del fraude de clics.

Malvertising y pop-ups

No hay un límite para la cantidad de esquemas de publicidad maliciosa que los delincuentes pueden implementar. Uno especialmente astuto es abusar de las notificaciones push de Chrome, una característica que es el sueño de un publicista deshonesto . Esto permite que los sitios web muestren notificaciones en la esquina inferior derecha de su pantalla, incluso cuando no esté navegando por el sitio en cuestión. Esos pop-ups tienden a ser optimizadores de PC de aceite de serpiente y webcams o solicitudes para adultos.

Reproductor de video falso engañando a los usuarios para que acepten notificaciones

Formadores de raspadores y skimmers.

Durante un breve período de tiempo, vimos la adición de un raspador de JavaScript y lo que parecía ser un skimmer rudimentario en algunas cadenas de tráfico. No está claro cuál era el propósito, a menos que fuera algún tipo de experimento junto con los redireccionamientos .tk regulares.

Los skimmers se encuentran más comúnmente en los sitios de comercio electrónico, en particular aquellos que ejecutan el CMS de Magento. Probablemente sean la forma más lucrativa de monetizar un sitio pirateado, a menos que, por supuesto, no haya datos de usuario para robar, en cuyo caso las redirecciones maliciosas son las segundas mejores.

Formador de raspador y skimmer identificado en infraestructura de redireccionamiento.

Tráfico del sitio web como una mercancía

La seguridad del sitio web es similar a la seguridad informática, ya que los propietarios del sitio también están expuestos a ataques de día cero y siempre deben realizar parches. Sin embargo, sin la protección proactiva (es decir, el firewall de la aplicación web) y los propietarios de sitios que no implementan sus actualizaciones de seguridad de manera oportuna, los días cero pueden ser increíblemente efectivos.

Cuando se descubren vulnerabilidades críticas, puede ser una cuestión de horas antes de que se observe la explotación en la naturaleza. Los sitios web comprometidos se convierten en un producto básico para diversos esquemas de monetización, que a su vez alimenta la compra y venta de tráfico malicioso.

Los usuarios de Malwarebytes están protegidos contra estas estafas, gracias a nuestras capacidades de bloqueo web. Para una protección adicional con los armarios del navegador, las extensiones forzadas y otras estafas, recomendamos nuestra extensión del navegador.

Indicadores de compromiso (COI)

176.123.9 [.] 52

redrentalservice [.] com 
setforconfigplease [.] com 
somelandingpage [.] com 
setforspecialdomain [.] com 
getmyconfigplease [.] com 
getmyfreetraffic [.] com

176.123.9 [.] 53

verybeatifulpear [.] com 
thebiggestfavoritemake [.] com 
stopenumarationsz [.] com 
strangefullthiggngs [.] com

simpleoneline [.] en línea 
lastdaysonlines [.] com 
cdnwebsiteforyou [.] biz

La historia de Facebook traiciona su pivote de privacidad.

La historia de Facebook traiciona su pivote de privacidad.

La historia de Facebook traiciona su pivote de privacidad.

Publicado: 20 de marzo de 2019 por 

El director general de Facebook, Mark Zuckerberg, propuso un giro radical para su compañía este mes : comenzaría a preocuparse por la privacidad, construyendo una nueva versión de la plataforma que convierte a Facebook menos en una «plaza de la ciudad» pública, abierta y más en una privada. , íntima «sala de estar».

Zuckerberg prometió encriptación de extremo a extremo en las plataformas de mensajería de la compañía, interoperabilidad , mensajes de desaparición, publicaciones y fotos para los usuarios, y un compromiso para almacenar menos datos de los usuarios, al tiempo que se niega a colocar esa información en países con registros de derechos humanos deficientes.

Si se llevan a cabo, estas promesas podrían llevar la privacidad del usuario al centro.

Pero las promesas de Zuckerberg han agotado a los usuarios, los defensores de la privacidad, los tecnólogos y los expertos de la industria, incluidos los de Malwarebytes. Respetar la privacidad del usuario hace que para una mejor Internet, punto. Y las propuestas de Zuckerberg son absolutamente un paso en la dirección correcta. Desafortunadamente, hay un abismo entre la propuesta de privacidad de Zuckerberg y el éxito de la privacidad de Facebook. Dado el desempeño anterior de Zuckerberg, dudamos de que realmente lo haga, y no culpamos a ningún usuario que se sienta de la misma manera.

La respuesta externa al anuncio de Zuckerberg fue rápida y crítica.

Uno de los primeros inversionistas de Facebook llamó a la acción un truco de relaciones públicas . La veterana periodista tecnológica Kara Swisher recomendó a Facebook un «robo» de la mejor idea de un competidor. El grupo de derechos digitales Electronic Frontier Foundation dijo que creería en un Facebook verdaderamente privado cuando lo viera , y el activista austriaco de derechos de privacidad en línea ( y algo espinoso en el lado de Facebook ) Max Schrems se rió de lo que veía como hipocresía : fusionar los metadatos de los usuarios en WhatsApp Facebook, e Instagram, y les dicen a los usuarios que fue por su propio bien privado.

¿El mayor obstáculo para creer las palabras de Zuckerberg? Para muchos, es la historia de Facebook.

La idea misma de un Facebook que proteja la privacidad va en contra de la comprensión del público sobre la compañía que los comentarios de Zuckerberg tienen un sabor desagradable. Estas promesas provienen de un hombre cuyas declaraciones de gestión de crisis a menudo carecen de las palabras «lo siento» o «disculpa». Un hombre que, cuando su compañía estaba tratando de contener su propia comprensión de una campaña de desinformación de inteligencia extranjera, jugó como posible presidente , recorriendo América para una llamada » gira de escucha «.

Los usuarios, comprensiblemente, esperan mejor. Esperan que las empresas protejan su privacidad. Pero, ¿puede Facebook realmente estar a la altura de eso?

“El futuro de internet”

Zuckerberg abre su llamamiento con un reclamo tembloroso: que en los últimos años ha centrado su atención en «comprender y abordar los mayores desafíos a los que se enfrenta Facebook». Según Zuckerberg, «esto significa tomar posiciones sobre cuestiones importantes relacionadas con el futuro de Internet».

La visión de Facebook del futuro de Internet ha sido, en ocasiones, muy positiva. Facebook rutinariamente respalda la neutralidad de la red, y el año pasado, la compañía se opuso a una ley anti-encriptación y anti-seguridad peligrosa en Australia que podría obligar a las empresas de todo el mundo a cumplir con las órdenes secretas del gobierno para espiar a los usuarios.

Pero el registro de cabildeo de Facebook también revela un futuro de Internet que, para algunos, es menos seguro.

El año pasado, Facebook apoyó la mitad de un par de facturas de hermanos que finalmente se fusionaron en una sola ley. La ley siguió una ruta tortuosa y tortuosa, pero su impacto hoy está claro: las trabajadoras sexuales consensuales han descubierto que sus comunidades en línea son eliminadas y una vez más son empujadas a las calles , lejos de la orientación y el apoyo, y potencialmente de regreso a las manos de los depredadores. .

«El proyecto de ley nos está matando», dijo una trabajadora sexual a The Huffington Post .

Si bien la ley tenía la intención aparente de proteger a las víctimas de la trata sexual, solo ha empeorado sus vidas , según algunos defensores de las trabajadoras sexuales.

El 21 de marzo de 2018, el Senado de los EE. UU. Aprobó el proyecto de ley Permitir a los estados y las víctimas combatir el tráfico sexual en línea (FOSTA). El proyecto de ley fue el producto de una versión anterior de su propio homónimo, y un proyecto de ley relacionado relacionado, denominado Ley de detención de habilitación de traficantes sexuales (SESTA). A pesar de las claras advertencias de los grupos de derechos digitales y los defensores del sexo positivo , Facebook apoyó a SESTA en noviembre de 2017. Según el New York Times , Facebook hizo este movimiento calculado para ganarse el favor de algunos de sus críticos más feroces en la política estadounidense.

«[El] proyecto de ley de tráfico sexual fue defendido por el senador John Thune, un republicano de Dakota del Sur que había criticado a Facebook por acusaciones de censurar el contenido conservador, y el senador Richard Blumenthal, un demócrata de Connecticut y miembro del comité de comercio que fue crítico frecuente de Facebook ”, decía el artículo. «Facebook rompió filas con otras compañías de tecnología, esperando que la medida ayude a reparar las relaciones en ambos lados del pasillo, dijeron dos miembros del Congreso y tres funcionarios de la industria tecnológica».

En octubre pasado, el proyecto de ley volvió a perseguir al gigante de los medios sociales: una demandante Jane Doe en Texas demandó a Facebook por no protegerla de los traficantes sexuales .

Además, en el ensayo de Zuckerberg, promete que Facebook continuará negándose a construir centros de datos en países con registros de derechos humanos deficientes.

La preocupación de Zuckerberg es bienvenida y sus advertencias están bien ubicadas. A medida que Internet ha evolucionado, también lo ha hecho el almacenamiento de datos. Los perfiles, fotos, videos y mensajes en línea de los usuarios pueden viajar a través de varios servidores ubicados en países de todo el mundo, lejos de la sede de la empresa. Pero este desarrollo plantea un reto. Colocar los datos de las personas en países con menos protecciones de privacidad, y regímenes gubernamentales potencialmente opresivos, pone en riesgo la vida privada y en línea de todos. Como dijo Zuckerberg:

«[La] información sobre datos en más países también establece un precedente que anima a otros gobiernos a buscar un mayor acceso a los datos de sus ciudadanos y, por lo tanto, debilita la protección de la privacidad y la seguridad de las personas en todo el mundo», dijo Zuckerberg.

Pero lo que dice Zuckerberg y lo que Facebook soporta están en desacuerdo.

El año pasado, Facebook apoyó la Ley CLOUD, una ley que redujo las protecciones de privacidad en todo el mundo al permitir que los gobiernos extranjeros soliciten directamente a las empresas los datos en línea de sus ciudadanos. Es una ley que, según la Electronic Frontier Foundation , podría dar lugar a que la policía del Reino Unido se hiciera con los mensajes de Slack escritos por un estadounidense, y luego los enviara a la policía de EE. UU., Quien podría acusar a ese estadounidense de un delito, todo sin una orden judicial.

El mismo día en que se introdujo por primera vez la Ley CLOUD como un proyecto de ley, recibió apoyo inmediato de Facebook, Google, Microsoft, Apple y Oath (anteriormente Yahoo). Grupos de derechos digitales , defensores de las libertades civiles y organizaciones de derechos humanos se opusieron directamente al proyecto de ley poco después. Ninguno de sus esfuerzos sacudió a los gigantes de la tecnología. La Ley CLOUD se convirtió en ley solo unos meses después de su introducción.

Si bien el impulso de Zuckerberg para mantener la información fuera de los países que abusan de los derechos humanos es un paso en la dirección correcta para proteger la privacidad global, su compañía apoyó una ley que podría resultar en lo contrario. La Ley CLOUD no depende significativamente del historial de derechos humanos de un país. En cambio, se basa en negociaciones internas entre gobiernos, lejos de la vista del público.

El futuro de Internet ya está aquí, y Facebook es parcialmente responsable de su aspecto.

Escepticismo sobre la historia de origen 2.0 de Facebook.

Durante años, Zuckerberg le dijo a cualquiera que escuchara, incluidos los senadores estadounidenses ansiosos de respuestas , que comenzó a Facebook en su dormitorio de Harvard. Este inocente recuento involucra a un joven Zuckerberg de ojos caídos que no se preocupa por comenzar un negocio, sino más bien por conectar a las personas.

La conexión, ha repetido Zuckerberg, fue la última misión. Esta visión singular una vez fue empleada por un ejecutivo de la empresa para desestimar la muerte humana por el «* de facto * bien» de conectar a las personas .

Pero la última declaración de Zuckerberg agrega un nuevo propósito, o arruga, a la misión de Facebook: la privacidad.

«La privacidad le da a la gente la libertad de ser ellos mismos y conectarse más naturalmente, por eso construimos redes sociales», dijo Zuckerberg.

Varios expertos ven motivos ulteriores.

Kara Swisher, la editora ejecutiva de Recode, dijo que la reorientación de Facebook es probablemente un intento de seguir siendo relevante para los usuarios más jóvenes. La privacidad en línea, según muestran los datos, es una de las principales preocupaciones de ese grupo demográfico . Pero preocuparse por la privacidad, dijo Swisher, «nunca formó parte del ADN [de Facebook], excepto tal vez como una línea de descarte en un comunicado de prensa».

Ashkan Soltani, ex director de tecnología de la Comisión Federal de Comercio, dijo que las ideas de Zuckerberg eran intentos obvios de aprovechar la privacidad como una ventaja competitiva.

«Apoyo firmemente la privacidad de los consumidores cuando me comunico en línea, pero este movimiento es completamente un juego estratégico para usar la privacidad como una ventaja competitiva y un mayor bloqueo de Facebook como la plataforma de mensajería dominante», dijo Soltani en Twitter .

En cuanto al compromiso de permanecer fuera de los países que violan los derechos humanos, Riana Pfefferkorn, directora asociada de vigilancia y ciberseguridad en el Centro de Internet y Sociedad de la Escuela de Derecho de Stanford, presionó más.

«No sé qué estándares están usando para determinar quiénes son los abusadores de derechos humanos», dijo Pfefferkorn en una entrevista telefónica. “Si es la lista de países que Estados Unidos ha sancionado, donde no permiten las exportaciones, es una lista corta. Pero si tienes todos los países que alguna vez ponen a los disidentes en prisión, entonces eso comienza con algunas preguntas mucho más difíciles «.

Por ejemplo, ¿qué hará Facebook si quiere ingresar a un país que, en el papel, protege los derechos humanos, pero en la práctica, utiliza leyes opresivas contra sus ciudadanos? ¿Conservará Facebook su nuevo modelo de privacidad y renunciará por completo al mercado? ¿O se doblará?

«Ya lo veremos», dijo Pfefferkorn en un correo electrónico anterior. «[Zuckerberg] es responsable ante los accionistas y ante la tiranía de la regla n. ° 1: crecimiento, crecimiento, crecimiento».

Al preguntarle si el pivote de Facebook tendrá éxito, Pfefferkorn dijo que la compañía definitivamente ha hecho algunas contrataciones importantes para ayudar. En el último año, Facebook incorporó a tres críticos y expertos en derechos digitales, uno de EFF, otro del Open Technology Institute de New American y otro de AccessNow, para que asumieran las funciones de liderazgo. Además, Pfefferkorn dijo, Facebook ha impulsado exitosamente proyectos enormes y de privacidad hacia adelante antes.

«Ellos implementaron el cifrado de extremo a extremo y lo hicieron realidad para mil millones de personas en WhatsApp», dijo Pfefferkorn. «No es necesariamente imposible».

El pasado de WhatsApp es ahora el futuro de Facebook.

Al mirar hacia el futuro, Zuckerberg primero mira hacia atrás.

Para otorgar cierta autenticidad a este nuevo y mejorado Facebook privado, Zuckerberg invoca repetidamente la reputación de una empresa adquirida previamente para reforzar la cuenta de Facebook.

WhatsApp, dijo Zuckerberg, debería ser el modelo para el nuevo Facebook.

“Planeamos construir esta [plataforma enfocada en la privacidad] de la manera en que hemos desarrollado WhatsApp: enfocándonos en el caso de uso más fundamental y privado, la mensajería, hacerlo lo más seguro posible y luego construir más formas para que las personas interactúen en la parte superior De eso «, dijo Zuckerberg.

El mensajero seguro, que Facebook compró en 2014 por $ 19 mil millones, es un ejemplo de privacidad. Desarrolló el cifrado de extremo a extremo predeterminado para los usuarios en 2016 (en lugar de Facebook), se niega a almacenar claves para otorgar acceso a los mensajes de los usuarios e intenta limitar la recopilación de datos del usuario tanto como sea posible.

Aún así, varios usuarios creían que WhatsApp que se unía a Facebook representaba una sentencia de muerte para la privacidad del usuario. Un mes después de la venta, el cofundador de WhatsApp, Jan Kaum, trató de disipar cualquier información errónea sobre la visión comprometida de WhatsApp.

«Si asociarse con Facebook significaba que teníamos que cambiar nuestros valores, no lo habríamos hecho», escribió Kaum.

Cuatro años después de la venta, algo cambió.

Kaum dejó Facebook en marzo de 2018, según se informa , preocupado por el enfoque de la privacidad y la recopilación de datos de Facebook. La partida de Kaum siguió a la de su co-fundador Brian Acton el año anterior .

En una entrevista exclusiva con Forbes , Acton explicó su decisión de abandonar Facebook. Era, dijo, mucho sobre la privacidad.

«Vendí la privacidad de mis usuarios a un mayor beneficio», dijo Acton. “Hice una elección y un compromiso. Y vivo con eso todos los días «.

Extrañamente, al defender el registro de privacidad de Facebook, Zuckerberg evita un episodio reciente de cifrado profesional. El año pasado, Facebook luchó, y prevaleció, contra una solicitud del gobierno de EE. UU. Para, según se informa, «romper el cifrado» en su aplicación Facebook Messenger . Zuckerberg también se olvida de mencionar el exitoso despliegue de encriptación de extremo a extremo de Facebook en su aplicación Messenger.

Además, confiar tanto en WhatsApp como símbolo de privacidad es complicado. Después de todo, Facebook no compró la compañía debido a su filosofía. Facebook compró WhatsApp porque era una amenaza . 

Historia de Facebook de promesas incumplidas

La declaración de Zuckerberg promete a los usuarios un Facebook completamente nuevo, completo con encriptación de extremo a extremo, mensajes y mensajes efímeros, recolección de datos permanente, menos intrusiva y sin almacenamiento de datos en países que han abusado de los derechos humanos.

Estas son ideas fuertes. El cifrado de extremo a extremo es una medida de seguridad crucial para proteger la vida privada de las personas, y la promesa de Facebook de negarse a almacenar las claves de cifrado solo refuerza esa seguridad. Los mensajes, fotos, fotos y videos efímeros brindan a los usuarios la oportunidad de compartir sus vidas en sus propios términos. Rehusarse a incluir datos en regímenes conocidos de abuso de derechos humanos podría representar un sacrificio de participación de mercado potencialmente significativo, dando a Facebook la oportunidad de demostrar su compromiso con la privacidad del usuario.

Pero el registro de promesas de Facebook es mucho más ligero que el de hacer promesas. En el pasado, ya sea que Facebook prometiera una nueva característica del producto o una mejor responsabilidad para sus usuarios, la compañía repetidamente perdió su propia marca.

En abril de 2018, TechCrunch reveló que, ya en 2010, Facebook eliminó algunas de las conversaciones privadas de Zuckerberg y cualquier registro de su participación, retrayendo los mensajes enviados desde su bandeja de entrada y desde la bandeja de entrada de sus amigos. La compañía también realizó esta eliminación, que no está disponible para los usuarios, para otros ejecutivos.

Tras las noticias, Facebook anunció un plan para dar a sus usuarios una función de «no envío».

Pero casi seis meses después, la compañía no había cumplido su promesa . No fue hasta febrero de este año que Facebook produjo una medida a medias: en lugar de darles a los usuarios la capacidad de eliminar realmente los mensajes enviados, como lo hizo Facebook para Zuckerberg, los usuarios podían «anular» un mensaje accidental en la aplicación Messenger en 10 minutos. del tiempo de envío inicial.

Gizmodo lo etiquetó como «cebo y cambio».

En octubre de 2016, ProPublica compró un anuncio en las «categorías de vivienda» de Facebook que excluía a grupos de usuarios que eran potencialmente afroamericanos, asiáticos o hispanos. Un abogado de derechos civiles calificó esta función de exclusión como «espantosa».

Facebook rápidamente prometió mejorar su plataforma de publicidad al eliminar las opciones de exclusión para anuncios de vivienda, crédito y empleo, y al implementar una mejor tecnología de detección automática para detener los anuncios potencialmente discriminatorios antes de que se publiquen.

Un año después, en noviembre de 2017, ProPublica ejecutó nuevamente su experimento. La discriminación, una vez más, resultó posible . Las herramientas contra la discriminación que Facebook anunció el año anterior no captaron nada.

«Cada anuncio individual fue aprobado en minutos», decía el artículo.

Esta vez, Facebook cerró toda la funcionalidad, según una carta de la Directora de Operaciones Sheryl Sandberg al Congreso Negro del Congreso. (Facebook también anunció los cambios en su sitio web ).

Más recientemente, Facebook no cumplió con la promesa de que los números de teléfono de los usuarios estarían protegidos de la búsqueda . Hoy en día, a través de una extraña solución, los usuarios aún pueden ser «encontrados» a través del número de teléfono que Facebook les pidió que proporcionen específicamente para la autenticación de dos factores.

Lejos de los cambios en el producto, Facebook ha dicho repetidamente a los usuarios que se comprometería con la seguridad, la seguridad y la privacidad del usuario. Sin embargo, el historial real después de esas declaraciones cuenta una historia diferente.

En 2013, un cineasta documental australiano se reunió con el líder de políticas públicas y comunicaciones de Facebook y le advirtió sobre el creciente problema del discurso de odio en la plataforma de Facebook en Myanmar. Los budistas ultranacionalistas del país estaban haciendo publicaciones falsas e inflamatorias sobre la población musulmana rohingya local, a veces exigiendo violencia contra ellos. Los disturbios se habían cobrado la vida de 80 personas el año anterior, y miles de rohingya fueron obligados a internarse en campos de internamiento.

El líder de políticas públicas y comunicaciones de Facebook, Elliot Schrage, envió a la cineasta australiana, Aela Callan, a un callejón sin salida.

«No me conectó con nadie dentro de Facebook que pudiera lidiar con el problema real», dijo Callan a Reuters .

Para noviembre de 2017, el problema había estallado, con Myanmar desgarrado y su gobierno involucrado en lo que Estados Unidos llamó «limpieza étnica» contra los rohingya . En 2018, los investigadores de las Naciones Unidas culparon a Facebook.

«Me temo que Facebook ahora se ha convertido en una bestia», dijo un investigador.

Durante los años anteriores, Facebook no hizo ningún esfuerzo visible para solucionar el problema. Para 2015, la compañía empleó solo a dos moderadores de contenido que hablaban birmano, el idioma principal en Myanmar. A mediados de 2018, las herramientas de informes de contenido de la compañía aún no se habían traducido al birmano, lo que dificultaba la capacidad de la población para protegerse en línea. Facebook tampoco había contratado a un solo empleado en Myanmar en ese momento.

En abril de 2018, Zuckerberg prometió hacerlo mejor. Cuatro meses más tarde, Reuters descubrió que el discurso de odio todavía corría desenfrenado en la plataforma y que los mensajes odiosos desde hacía seis años no habían sido eliminados.

Las crisis internacionales continuaron.

En marzo de 2018, The Guardian reveló que una empresa europea de análisis de datos había recopilado los perfiles de Facebook de decenas de millones de usuarios . Este fue el escándalo de Cambridge Analytica y, por primera vez, implicó directamente a Facebook en una campaña internacional para influir en las elecciones presidenciales de Estados Unidos.

Buffeted en todos los lados, Facebook lanzó … una campaña publicitaria . Empapado en sentimentalismo y desprovisto de culpabilidad, un anuncio de campaña dijo vagamente que «algo sucedió» en Facebook: «spam, clickbait, noticias falsas y uso indebido de datos».

«Eso va a cambiar», prometió el comercial. «De ahora en adelante, Facebook hará más para mantenerte seguro y proteger tu privacidad».

Esto es lo que sucedió desde que se emitió ese anuncio en abril de 2018.

El New York Times reveló que, durante los últimos 10 años, Facebook compartió datos con al menos 60 fabricantes de dispositivos , incluidos Apple, Samsung, Amazon, Microsoft y Blackberry. El New York Times también publicó una bomba de investigación en la cultura corporativa de Facebook, mostrando que, una y otra vez, Zuckerberg y Sandberg respondieron a las crisis corporativas con ofuscación, desviación y, en el caso de un proyecto centrado en la transparencia, la ira absoluta.

Un  comité parlamentario británico publicó documentos  que mostraban cómo Facebook le dio a algunas compañías, incluyendo Airbnb y Netflix, acceso a su plataforma a cambio de favores. (Más documentos publicados este año mostraron intentos anteriores de Facebook para vender datos de usuarios ). La aplicación Onava de Facebook se inició en la tienda de aplicaciones de Apple para recopilar datos de usuarios. Se informó que Facebook también pagó a usuarios de tan solo 13 años de edad para instalar la aplicación «Facebook Research» en sus propios dispositivos, una aplicación destinada exclusivamente para el uso de los empleados de Facebook.

Ah, y Facebook sufrió una violación de datos que potencialmente afectó a hasta 50 millones de usuarios.

Si bien la esencia de las promesas de Zuckerberg podría proteger la privacidad del usuario, la ejecución de esas promesas aún está en el aire. No es que los usuarios no quieran lo que Zuckerberg está describiendo, es que están agotados con él. ¿Cuántas veces se verán obligados a escuchar acerca de otro cambio de corazón antes de que Facebook cambie para siempre?

Facebook de mañana

Cambiar la dirección de una empresa internacional multimillonaria es un trabajo duro, aunque varios expertos se muestran optimistas sobre la hoja de ruta de la privacidad de Zuckerberg. Pero al igual que muchos expertos han agotado su fe en la empresa. En todo caso, las presiones públicas de Facebook podrían estar en su punto más bajo: los detractores se han retirado de la plataforma por completo y los partidarios continuarán profundizando en su propia buena voluntad.

Lo que Facebook hace con esta oportunidad está totalmente bajo su propio control. Los usuarios de todo el mundo estarán mejor si la empresa decide que, esta vez, se trata de un cambio serio. La privacidad del usuario vale la pena el esfuerzo.

Gestión de la reputación en la era de los ciberataques contra empresas.

Gestión de la reputación en la era de los ciberataques contra empresas.

Gestión de la reputación en la era de los ciberataques contra empresas.

Publicado: 15 de marzo de 2019 por 

Los ávidos lectores del blog Malwarebytes Labs sabrían que nos esforzamos por preparar empresas de todos los tamaños para la inevitabilidad de los ataques cibernéticos. Desde la capacitación efectiva de empleados sobre higiene básica en seguridad cibernética hasta orientar a las organizaciones en la formulación de un programa de respuesta a incidentes (IR) , una política de seguridad cibernética e introducir una cultura de seguridad intencional , nuestro objetivo es promover la prevención proactiva.

Sin embargo, hay ocasiones en que las organizaciones necesitan ser reactivas. Y uno de ellos es la gestión de la reputación empresarial (BRM, por sus siglas en inglés), una palabra de moda que se refiere a la práctica de garantizar que las organizaciones siempre estén dando lo mejor de sí, en línea y fuera de línea, mediante el monitoreo constante y el tratamiento de la información y las comunicaciones que dan forma a la percepción pública. Este es un proceso que los ejecutivos no deben perderse, especialmente cuando la compañía se encuentra en el centro de una tormenta mediática después de revelar un incidente de ciberseguridad que potencialmente ha afectado a millones de sus clientes.

En esta publicación, analizamos por qué las empresas de todos los tamaños deberían tener un sistema de este tipo al tener un repaso sobre qué forma una reputación y cuánto ha evolucionado la confianza y lealtad del consumidor. También le mostraremos cómo se vería el BRM proactivo y reactivo antes, durante y después de una lluvia cibernética.

La reputación, como la belleza, está en el ojo del espectador.

La reputación de una empresa (cómo los clientes, los inversores, los empleados, los proveedores y los socios la perciben) es su activo más valioso e intangible. Gideon Spanier, Director Global de Medios de Campaign, ha dicho en su artículo de Raconteur que se basa en tres cosas: lo que dices, lo que haces y lo que otros dicen de ti cuando no estás en la sala. Debido al mundo altamente digitalizado y en red en el que vivimos, las paredes de esta sala se han vuelto imaginarias, y ahora todos escuchan lo que tienes que decir.

Buscar organizaciones y marcas en línea se ha convertido en parte del proceso de toma de decisiones de un consumidor, por lo que tener una presencia en línea fuerte y positiva es más importante que nunca. Pero para ver que solo el 15 por ciento de los ejecutivos están abordando la necesidad de administrar la reputación de su empresa, claramente hay trabajo por hacer.

La confianza y lealtad del consumidor evolucionaron.

La confianza de la marca ha crecido. Antes, nos basábamos en el boca a boca, tanto las recomendaciones como las condenas, de amigos y familiares, la positividad o la negatividad de nuestras propias experiencias y las de otros sobre un producto o servicio, y el respaldo de alguien a quien admiramos (como las celebridades y los atletas ). Hoy en día, muchos de nosotros tendemos a creer lo que dicen los extrañossobre una marca, un producto o un servicio; lea las noticias sobre lo que está pasando con las instituciones; y siga la charla de las redes sociales sobre ellos.

La relación entre la confianza del consumidor y la reputación de la marca también ha cambiado. Si bien los nombres generales siguen siendo preferidos sobre marcas nuevas o desconocidas (incluso si ofrecen un producto o servicio similar a un costo más barato), los consumidores conectados han aprendido el valor de sus datos. No solo quieren que se satisfagan sus necesidades, sino que también esperan que las empresas se ocupen de ellas y, por extensión, de la información que escogen, para que puedan sentirse seguros y felices.

Por supuesto, con la confianza viene la lealtad. Weber Shandwick, una firma de relaciones públicas global, ha recordado a los líderes de negocios en su informe, La compañía detrás de la marca: Reputación en la que confiamos [PDF], encontró que los consumidores en el Reino Unido tienden a asociarse con un producto, y si la compañía que produce ese producto no cumple con lo que se espera de ellos, se retiran en busca de uno mejor, que generalmente ofrece una marca de la competencia. No es difícil imaginar esta misma reacción de los consumidores en los Estados Unidos en el contexto de datos de clientes robados debido a una violación de datos en toda la empresa.

Gestión de la reputación empresarial en acción.

La posibilidad de encontrar su negocio en la mira de los actores de amenazas ya no es solo una posibilidad, sino algo para lo que los ejecutivos siempre deben estar preparados. La buena noticia es que no es imposible proteger su reputación comercial de los riesgos.

En esta sección, describimos lo que las empresas pueden hacer en tres fases: antes, durante y después de un ataque, mediante una ilustración basada en un escenario del mundo real para dar a las organizaciones una idea de cómo pueden formular un plan de juego para administrar su reputación ahora. o en el futuro. Tenga en cuenta que hemos alineado nuestros indicadores en el contexto de los incidentes de ciberseguridad y privacidad.

Antes de un ataque: prepárate para una brecha

  • Identifique y asegure los datos más confidenciales de su empresa. Esto incluye la propiedad intelectual (IP) y la información de identificación personal (PII) de sus clientes .
  • Copia de seguridad de sus datos. Tenemos una guía práctica para eso.
  • Parche todo. Puede tomar un tiempo y puede causar alguna interrupción, pero valdrá la pena.
  • Educar a los empleados sobre medidas básicas de seguridad de datos, tácticas de ingeniería social y cómo identificar las señales de alerta de una posible violación.
  • Armar un equipo de socorristas. Es decir, si la empresa ha decidido manejar los incidentes de forma interna. Si este es el caso:
    • Proporcionarles las herramientas que necesitarán para el trabajo.
    • Capacítelos sobre cómo usar estas herramientas y sobre los procesos establecidos para la recolección y el almacenamiento adecuados de la evidencia.
  • Crear un plan de respuesta de violación de datos. Este es un conjunto de acciones que realiza una organización para abordar de manera rápida y efectiva un incidente de seguridad o privacidad. Lamentablemente, de acuerdo con la Encuesta Mundial de Delitos Económicos y Fraude de 2018 de PwC , solo el 30 por ciento de las empresas tienen este plan en marcha.
    • Una vez creados, asegúrese de que todas las partes interesadas internas (sus empleados, ejecutivos, unidades de negocios, inversores y contactos B2B) estén informadas sobre este plan, para que sepan qué hacer y qué esperar.
  • Conozca las leyes de notificación de violaciones de seguridad en el estado en el que se basa su empresa. Asegúrese de que su empresa cumpla con la legislación.
  • Establecer un proceso de alerta y seguimiento. Esto incluye mantener un canal de comunicación que sea accesible 24/7. En caso de un ataque, las partes interesadas internas deben ser informadas primero.
  • En una nota similar, crear un proceso de notificación. Involucre a los departamentos clave relevantes, como marketing y asuntos legales, para que sepan qué decirles a los clientes (si la violación implica un robo de PII), a los reguladores y a las fuerzas del orden público, y cómo notificarlos mejor.
  • Dependiendo de la naturaleza de su empresa y de los activos potenciales que puedan verse afectados por un incumplimiento, prepare una lista de los posibles servicios especiales que su empresa puede ofrecer a los clientes que puedan verse afectados. Por ejemplo, si su empresa almacena información de tarjetas de crédito, puede proporcionar protección de identidad a los clientes con un número de contacto al que pueden llamar para hacer uso del servicio. Esto fue lo que hizo Home Depot cuando se rompió en 2014.

Leer: Cómo navegar por Internet de forma segura en el trabajo.


Durante un ataque: sé estratégico.

  • Mantenga a las partes interesadas internas actualizadas sobre los desarrollos y los pasos que su empresa ha tomado para mitigar y remediar la gravedad de la situación. Mantenga las líneas telefónicas abiertas, pero sería más eficiente enviar actualizaciones periódicas por correo electrónico. Cree una línea de tiempo de eventos a medida que avanza.
  • Identifique y documente la siguiente información y evidencia lo más que pueda, ya que éstas son necesarias cuando llegue el momento de notificar a los clientes y al público sobre la violación:
    • Sistemas comprometidos, activos y redes
    • Paciente cero, o como ocurrió la brecha.
    • Información en las máquinas afectadas que ha sido divulgada, tomada, eliminada o dañada.
  • Si su compañía tiene un blog o una página donde puede publicar noticias de la compañía, redacte una cuenta de los eventos de principio a fin y lo que continuará planeando hacer en las próximas semanas después de la violación. Se transparente y eficaz. Esta es una buena oportunidad para mostrar a los clientes que la compañía no solo está hablando, sino que también está caminando. El Director de Marketing (CMO) debe tomar la iniciativa en esto.

Después de un ataque: ser excelente para sus partes interesadas

  • Notifique a sus clientes y otras entidades que puedan haber sido afectadas por el incumplimiento.
    • Publique las noticias de la compañía o la publicación en el blog que la compañía ha redactado sobre el incidente de ciberseguridad.
    • Envíe notificaciones de incumplimiento por correo electrónico, enlace al blog y redes sociales.
  • Prepárese para recibir preguntas de los clientes y de cualquier persona que esté interesada en aprender más sobre lo que sucedió. Espera tener conversaciones incómodas.
  • Ofrezca servicios adicionales a sus clientes, que ya ha pensado y preparado en la primera fase de este ejercicio BRM.
  • Continúe aceptando y abordando las inquietudes y preguntas de los clientes durante períodos prolongados durante un cierto período de tiempo.
  • Implemente nuevos procesos y utilice nuevos productos basados ​​en discusiones posteriores al incidente para minimizar aún más las futuras violaciones de los sucesos.
  • Rejuvenezca la confianza de las partes interesadas y céntrese en las estrategias de preparación, contención y mitigación de violaciones, como prueba del compromiso de la empresa con sus clientes. Esto puede convertir el estigma de las violaciones de datos en su cabeza. Recuerde que una infracción puede suceder a cualquier empresa de cualquier industria. Lo que se recordará es cómo actuó la compañía antes, durante y después del incidente. Así que usa eso para tu ventaja.
  • Audite la información que su empresa recopila y almacena para ver si tiene datos que no son necesariamente necesarios para cumplir con sus obligaciones de productos y servicios para con los clientes. La lógica detrás de esto es que se guardan menos datos sobre los clientes; Los menos datos están en riesgo. Asegúrese de que todas sus partes interesadas, especialmente sus clientes, conozcan qué datos no recopilarán ni almacenarán más.
  • Reconoce el arduo trabajo de tus empleados y recompénsalos por ello. Sí, también son sus partes interesadas, y no deben ser olvidadas, especialmente después de un incidente de ciberseguridad.

La gestión de la reputación empresarial es el nuevo negro.

De hecho, las empresas siguen siendo el blanco favorito de los actores de amenazas y los estados nacionales de hoy. Es la nueva normalidad en este punto, algo que muchas organizaciones todavía están optando por negar.

Saber cómo administrar la reputación de su empresa se considera una ventaja competitiva. Claro, una cosa es saber cómo recuperarse de un incidente de ciberseguridad . Pero otra cosa es saber qué hacer para mantener la imagen de la marca intacta en medio de la atención negativa y qué decir a los afectados por el ataque, a sus partes interesadas, y al público en general.

Los archivos de amenazas persistentes avanzadas: Grupo Lazarus

Los archivos de amenazas persistentes avanzadas: Grupo Lazarus

Los archivos de amenazas persistentes avanzadas: Grupo Lazarus

Publicado: 12 de marzo de 2019 por 

Hemos escuchado mucho sobre las Amenazas Persistentes Avanzadas (APT) en los últimos años. Como actualización, las APT son ataques prolongados y dirigidos contra objetivos específicos con la intención de comprometer sus sistemas y obtener información de o sobre ese objetivo.

Si bien los objetivos pueden ser cualquiera o cualquier cosa, una persona, empresa u otra organización, las APT a menudo se asocian con operaciones gubernamentales o militares, ya que tienden a ser las organizaciones con los recursos necesarios para llevar a cabo tal ataque. Comenzando con el informe APT1 de Mandiant en 2013, ha habido un flujo continuo de exposición a la piratería a nivel nacional.

Las compañías de seguridad cibernética se han vuelto relativamente buenas en la observación y el análisis de las herramientas y tácticas de los actores de amenazas de los estados nacionales; no son tan buenos para ubicar estas acciones en contexto lo suficiente como para que los defensores realicen evaluaciones de riesgo sólidas. Así que vamos a echar un vistazo a algunos grupos APT desde una perspectiva más amplia y ver cómo encajan en el panorama de amenazas más amplio.

Hoy, vamos a revisar las actividades del grupo de Lázaro, alternativamente llamado Cobra Oculta y Guardianes de la Paz.

¿Quién es el Grupo Lázaro?

Se cree que el Grupo Lazarus está dirigido por el gobierno de Corea del Norte, motivado principalmente por la ganancia financiera como un método para eludir las sanciones de larga duración contra el régimen. La primera vez que llegaron a un importante aviso en los medios fue en 2013 con una serie de ataques coordinados contra una variedad de organismos de radiodifusión e instituciones financieras de Corea del Sur que utilizan DarkSeoul, un programa de limpiaparabrisas que sobrescribe secciones del registro maestro de arranque de las víctimas.

En noviembre de 2014, se atribuyó a Lazarus una violación a gran escala de Sony Pictures . El ataque fue notable debido a su penetración sustancial en las redes de Sony, la gran cantidad de datos exfiltrados y filtrados, así como el uso de un limpiaparabrisas en un posible intento de borrar evidencia forense. La atribución de los ataques fue en gran medida confusa, pero el FBI publicó una declaración que vinculaba la brecha de Sony con el ataque DarkSeoul anterior, y atribuyó oficialmente ambos incidentes a Corea del Norte.

Avance a mayo de 2017 con el brote generalizado de WannaCry , una pieza de ransomware que utilizó un exploit SMB como un vector de ataque. La atribución a Corea del Norte se basó en gran medida en la reutilización del código entre WannaCry y los ataques anteriores de Corea del Norte, pero se consideró que esto se debía a razones limitadas dada la práctica común de compartir herramientas entre grupos de amenazas regionales. Las agencias de inteligencia occidentales emitieron declaraciones oficiales al público reafirmando la atribución, y el 6 de septiembre de 2018, el Departamento de Justicia de los Estados Unidos acusó a un ciudadano norcoreano de participar en WannaCry y Sony.

Más recientemente, el brazo motivado financieramente de Lazarus Group ha estado captando la atención por los ataques contra las instituciones financieras, así como los intercambios de criptomonedas. Este último es notable por involucrar aplicaciones de comercio troyano para Windows y MacOS.

Malware implementado comúnmente

¿Debería estar preocupado?

Sí, pero no en la medida en que puedas pensar. Las actividades del Grupo Lazarus se centran en la ganancia financiera, así como en el logro de los objetivos políticos del régimen de Corea del Norte. Dado que los objetivos políticos declarados de Corea del Norte tienden a centrarse en los conflictos regionales con Corea del Sur y Japón, es probable que las empresas fuera de esa esfera corran un bajo riesgo de ataques por motivos políticos.

Sin embargo, las motivaciones financieras representan un riesgo significativo para casi todas las organizaciones. Afortunadamente, la defensa contra estos tipos de ataques es en gran medida la misma, ya sea que estén o no patrocinados por el estado. Los defensores deben tener una sólida capacidad de monitoreo de registros, un programa de administración de parches, protección anti-phishing y marcas para distinguir las comunicaciones legítimas del liderazgo de los impostores.

¿Qué podrían hacer después?

La atribución de los ataques de Lázaro es más suave que con muchos otros grupos de amenazas, y las motivaciones políticas de Corea del Norte han resultado difíciles durante décadas. Como resultado, es difícil proyectar cuáles podrían ser sus próximos objetivos. Sin embargo, es razonable suponer que mientras se mantengan las sanciones para el liderazgo de Corea del Norte, las motivaciones financieras de Lázaro también se mantendrán. Las organizaciones con un riesgo particular de ataques motivados financieramente deben incluir a Lázaro mientras consideran las medidas de seguridad.

La guía no tan definitiva de las leyes de ciberseguridad y privacidad de datos.

La guía no tan definitiva de las leyes de ciberseguridad y privacidad de datos.

La guía no tan definitiva de las leyes de ciberseguridad y privacidad de datos.

Publicado: 7 de marzo de 2019 por 
Última actualización: 6 de marzo de 2019

Las leyes de ciberseguridad y privacidad de los datos de EE. UU. Son, por decirlo así, un desastre.

Los años de legislación poco sistemática, las decisiones de la Corte Suprema y las crisis de vigilancia del gobierno, junto con las reiteradas fallas corporativas para proteger los datos de los usuarios, han creado un panorama legal que, para el público estadounidense y las empresas estadounidenses, es confuso, complicado y francamente molesto.

Se espera que las empresas cumplan con las leyes de privacidad de datos basadas en el tipo de datos. Por ejemplo, hay una ley que protege la información médica y de salud, otra ley que protege la información que pertenece a los niños y otra ley que protege los registros de alquiler de videos. (En serio, hay.) Sin embargo, confusamente, algunas de esas leyes solo se aplican a ciertos tipos de negocios , en lugar de a ciertos tipos de datos .

Por otro lado, se espera que los organismos encargados de hacer cumplir la ley y la comunidad de inteligencia cumplan con un marco diferente que a veces separa los datos según el «contenido» y el «no contenido». Por ejemplo, hay una ley que protege las conversaciones telefónicas, pero otra La ley protege los números reales marcados en el teclado.

E incluso cuando los datos parecen similares, sus protecciones pueden diferir. Los datos de ubicación GPS pueden, por ejemplo, recibir una protección diferente si se mantiene con un proveedor de telefonía celular en comparación con si se cargó voluntariamente a través de un servicio de «registro» de ubicación en línea o mediante una aplicación de aptitud que permite a los usuarios compartir rutas de jogging.

El Congreso podría racionalizar esta red inconexa al aprobar una legislación federal exhaustiva sobre privacidad de datos; sin embargo, sigue habiendo dudas sobre la aplicación de la normativa y si las leyes de privacidad de datos individuales de los estados se respetarán o se verán afectadas en el proceso.

Para comprender mejor el campo actual, Malwarebytes está lanzando una serie limitada de blogs sobre privacidad de datos y leyes de ciberseguridad en los Estados Unidos. Cubriremos el cumplimiento comercial, la legislación sectorial, la vigilancia gubernamental y la próxima legislación federal.

A continuación se muestra nuestro primer blog de la serie. Explora el cumplimiento de la privacidad de los datos en los Estados Unidos hoy en día desde la perspectiva de una startup.

Un cuento de startups: abundan las leyes de privacidad de datos

Cada año, un sinnúmero de personas viajan a Silicon Valley para unirse a la 21 st fiebre del oro del siglo, rompiendo lanzas no a lo largo de la costa, pero arriba y abajo Sand Hill Road, donde golpeándolo medios ricos que traen algún tipo de financiación de capital de riesgo grave.

Pero antes de que cualquier inicio incipiente pueda convertirse en el próximo Facebook, Uber, Google o Airbnb, debe cumplir con una gran variedad de leyes de privacidad de datos, a veces vertiginosas.

Por suerte, hay abogados de privacidad de datos para ayudar.

Hablamos con D. Reed Freeman Jr., copresidente de la práctica de ciberseguridad y privacidad en el bufete de abogados Wilmer Cutler Pickering Hale y Dorr, con sede en Washington, DC, sobre lo que una startup hipotética de recopilación de datos debería cumplir con los requisitos actuales de EE. UU. Leyes de privacidad de datos. ¿Cómo es su mapa de ruta?

Nuestra hipotética puesta en marcha, llamémosla Spuri.us, se basa en San Francisco y se centra por completo en un mercado estadounidense. La compañía desarrolló una aplicación que recopila datos de los usuarios para mejorar el rendimiento de la aplicación y, potencialmente, ofrecer anuncios dirigidos en el futuro.

Esta no es una lista exhaustiva de todas las leyes de privacidad de datos que una empresa debe tener en cuenta para el cumplimiento de la privacidad de datos en los Estados Unidos. En cambio, es una instantánea, que brinda información y respuestas a algunas de las preguntas más comunes en la actualidad.

Política de privacidad en línea de Spuri.us

Para dar inicio al cumplimiento de la privacidad de los datos con el pie derecho, Freeman dijo que la empresa de inicio debe escribir y publicar una política de privacidad clara y veraz en línea, tal como se define en la Ley de Protección de la Privacidad en Línea de California de 2004 .

La ley exige que las empresas y los operadores de sitios web comerciales que recopilan información de identificación personal publiquen en línea una política de privacidad clara y de fácil acceso. Estas políticas de privacidad deben detallar los tipos de información recopilada de los usuarios, los tipos de información que pueden compartirse con terceros, la fecha de vigencia de la política de privacidad y el proceso, si lo hubiera, para que un usuario revise y solicite cambios en sus información recopilada.

Las políticas de privacidad también deben incluir información sobre cómo responde una empresa a las solicitudes de «No rastrear», que son configuraciones del navegador web destinadas a evitar que un usuario sea rastreado en línea. La eficacia de estas configuraciones se debate, y Apple retiró recientemente la función en su navegador Safari .

Freeman dijo que las empresas no tienen que preocuparse por cumplir con las solicitudes de «No rastrear» tanto como deberían preocuparse por cumplir con la ley.

«Está bien decir ‘No lo hacemos'», dijo Freeman, «pero tienes que decir algo».

La ley cubre más de lo que se dice en una política de privacidad. También cubre qué tan prominente debe mostrar una empresa. De acuerdo con la ley, las políticas de privacidad deben estar «visibles» en un sitio web.

Hace más de 10 años, Google intentó probar esa interpretación y luego retrocedió. Tras un informe del New York Times de 2007 que reveló que la política de privacidad de la compañía estaba al menos a dos clics de la página de inicio, varias organizaciones de derechos de privacidad enviaron una carta al entonces CEO Eric Schmidt, instando a la compañía a cumplir de manera más proactiva.

«La renuencia de Google a publicar un enlace a su política de privacidad en su página de inicio es alarmante», decía la carta , que fue firmada por la American Civil Liberties Union, el Center for Digital Democracy y Electronic Frontier Foundation. «Le instamos a cumplir con la Ley de Protección de Privacidad en Línea de California y la práctica generalizada de sitios web comerciales tan pronto como sea posible».

La carta funcionó. Hoy, los usuarios pueden hacer clic en el enlace «Privacidad» en la página de inicio del gigante de búsqueda.

¿Qué pasa con COPPA y HIPAA?

Spuri.us, como cualquier nueva empresa ágil de Silicon Valley, está lista para girar. En un momento dado de su crecimiento, consideró convertirse en una aplicación de seguimiento de salud y estado físico, lo que significa que recopilaría la frecuencia cardíaca, los regímenes de sueño, la ingesta de agua, las rutinas de ejercicio e incluso su ubicación GPS de los usuarios para las rutas seleccionadas de jogging y ciclismo. Spuri.us también alguna vez consideró la posibilidad de integrarse a los juegos móviles, desarrollando una aplicación que no está diseñada para niños, pero que aún se puede descargar en dispositivos infantiles y jugar con niños.

El fundador de Spuri.us está familiarizado con al menos dos leyes federales de privacidad de datos: la Ley de Portabilidad y Responsabilidad de los Seguros de Salud ( HIPAA ), que regula la información médica, y la Ley de Protección de la Privacidad en Línea de los Niños ( COPPA ), que regula la información que pertenece a los niños.

El fundador de Spuri.us quiere saber: si su compañía comienza a recopilar información relacionada con la salud, ¿tendrá que cumplir con HIPAA?

No es así, dijo Freeman.

«HIPAA, la forma en que se presenta, no cubre toda la información médica», dijo Freeman. «Eso es un malentendido común».

En su lugar, dijo Freeman, HIPAA solo se aplica a tres tipos de empresas: proveedores de atención médica (como médicos, clínicas, dentistas y farmacias), planes de salud (como compañías de seguros de salud y HMO) y centros de intercambio de información de atención médica (como servicios de facturación que se procesan). información de salud no estándar).

Sin ajustar ninguna de esas descripciones, Spuri.us no tiene que preocuparse por el cumplimiento de HIPAA.

En cuanto al cumplimiento de la COPPA, Freeman calificó la ley de «complicada» y «muy difícil de cumplir». Junto con un proyecto de ley general masivo al cierre de la sesión legislativa de 1998, la COPPA es una ley que «nadie sabía que estaba allí hasta que se aprobó». «, Dijo Freeman.

Dicho esto, el alcance de la COPPA es fácil de entender.

«Algunas cosas son simples», dijo Freeman. «Usted está regulado por el Congreso y obligado a cumplir con sus requisitos bizantinos si su sitio web está dirigido a niños menores de 13 años, o si tiene conocimiento real de que está recopilando información de niños menores de 13 años».

Eso plantea la pregunta: ¿Qué es un sitio web dirigido a niños? Según Freeman, la Comisión Federal de Comercio creó una regla que ayuda a responder esa pregunta .

«Cosas como las animaciones en el sitio, el lenguaje que parece estar orientado a los niños, una variedad de factores que son intuitivos se tienen en cuenta», dijo Freeman.

Otros factores incluyen el tema de un sitio web, su música, la edad de sus modelos, la exhibición de «actividades orientadas a los niños» y la presencia de cualquier celebridad infantil.

Debido a que Spuri.us no está creando una aplicación dirigida a niños, y no recopila información a sabiendas de niños menores de 13 años, no tiene que cumplir con COPPA.

Una nota rápida sobre GDPR

Ninguna preocupación sobre el cumplimiento de la privacidad de los datos está completa sin que aparezca el Reglamento general de protección de datos (GDPR) de la Unión Europea . Aprobado en 2016 y que entró en vigencia el año pasado, GDPR regula la forma en que las empresas recopilan, almacenan, usan y comparten la información personal de los ciudadanos de la UE en línea. El día que GDPR entró en vigencia, innumerables estadounidenses recibieron correos electrónicos después de un correo electrónico sobre políticas de privacidad actualizadas, a menudo de compañías que se fundaron en los Estados Unidos.

El fundador de Spuri.us está preocupado. Ella podría tener usuarios de la UE pero no está segura. ¿Los usuarios la obligan a cumplir con GDPR?

«Esa es una percepción errónea común», dijo Freeman. Dijo que una sección de GDPR explica este tema, al que llamó «aplicación extraterritorial». O, para ponerlo un poco más claro, Freeman dijo: «Si eres una empresa estadounidense, ¿cuándo llega GDPR y te atrapa?»

GDPR afecta a las empresas de todo el mundo en función de tres factores. Primero, si la empresa está establecida dentro de la UE, ya sea a través de empleados, oficinas o equipos. En segundo lugar, si la empresa comercializa directamente o se comunica con los residentes de la UE. En tercer lugar, si la empresa supervisa el comportamiento de los residentes de la UE.

«El número tres es lo que hace tropezar a la gente», dijo Freeman. Dijo que los sitios web y las aplicaciones de EE. UU., Incluidas las operadas por compañías sin una presencia física en la UE, aún deben cumplir con GDPR si hacen un seguimiento específico del comportamiento de los usuarios que tiene lugar en la UE.

«Si tiene un servicio o red de análisis, o píxeles en su sitio web, o si coloca cookies en las máquinas de los residentes de la UE que rastrean su comportamiento», todo eso podría contar como un seguimiento del comportamiento de los residentes de la UE, dijo Freeman.

Debido a que esos servicios son bastante comunes, Freeman dijo que muchas compañías ya han encontrado una solución. En lugar de desmantelar una operación analítica completa, las empresas pueden capturar las direcciones IP de los usuarios que visitan sus sitios web. Las empresas luego realizan una búsqueda de geolocalización inversa. Si las compañías encuentran alguna dirección IP asociada con una ubicación en la UE, eliminan a los usuarios detrás de esas direcciones para evitar el seguimiento en línea.

Cuando se le preguntó si esta configuración ha demostrado proteger contra los reguladores de GDPR, Freeman dijo que estos pasos muestran un entendimiento y una preocupación por la ley. Esa preocupación, dijo, debería resistir el escrutinio.

«Si es una empresa nueva y un regulador de la UE inicia una investigación y demuestra que ha hecho todo lo posible para evitar el seguimiento (que lo obtiene), conoce la ley. Mi esperanza sería que los reguladores más razonables no aceptaran Una acción draconiana contra ti «, dijo Freeman. «Has hecho lo mejor que puedes para evitar lo que está regulado, que es la pista».

Una ley de violación de datos para cada estado

Spuri.us tiene una política de privacidad claramente publicada. Sabe sobre HIPAA y COPPA y tiene un plan para GDPR. Todo va bien … hasta que no lo es.

Spuri.us sufre una violación de datos.

Dependiendo de qué datos se tomaron de Spuri.us y a quién se refería, la empresa de inicio deberá cumplir con los muchos requisitos establecidos en la ley de notificación de violación de datos de California . Existen reglas sobre cuándo se activa la ley, qué se considera una infracción, a quién notificar y qué decirles.

La ley protege la «información personal» de los californianos, que define como una combinación de información. Por ejemplo, un nombre y apellido más un número de Seguro Social cuentan como información personal. También haga una primera inicial y un apellido más un número de licencia de conducir, o un nombre y apellido más cualquier reclamación de seguro médico anterior o diagnóstico médico. El nombre de usuario y la contraseña asociada de un californiano también califican como «información personal», según la ley.

La ley también define una violación como cualquier «adquisición no autorizada» de datos de información personal. Entonces, ¿un actor de amenaza deshonesto que accede a una base de datos? No es una brecha. ¿Ese mismo actor de amenazas descargando la información de la base de datos? Incumplimiento.

En California, una vez que una empresa descubre una violación de datos, debe notificar a las personas afectadas. Estas notificaciones deben incluir detalles sobre el tipo de información personal que se tomó, una descripción de la violación, información de contacto de la empresa y, si la empresa fue realmente la fuente de la violación, una oferta de servicios gratuitos de prevención de robo de identidad por al menos un año.

La ley es particularmente estricta en estas notificaciones a clientes e individuos afectados. Hay reglas sobre el tamaño de la fuente y los requisitos para los subtítulos que se deben incluir en cada aviso: «Qué sucedió», «Qué información se involucró», «Qué estamos haciendo», «Qué puede hacer» y «Más información».

Después de que Spuri.us envíe su gran cantidad de avisos, todavía podría tener mucho más que hacer.

A partir de abril de 2018, cada estado de EE. UU. Tiene su propia ley de notificación de violación de datos . Estas leyes, que a veces se pueden superponer, aún incluyen importantes diferencias, dijo Freeman.

“Algunos estados requieren que notifiques a los consumidores afectados. Algunos requieren que notifique al Fiscal General del estado ”, dijo Freeman. «Algunos requieren que notifiques a las agencias de crédito».

Por ejemplo, la ley de Florida requiere que, si más de 1,000 residentes se ven afectados, la compañía debe notificar a todas las agencias de informes de consumidores de todo el país. La ley de Utah, por otro lado, solo requiere notificaciones si, después de una investigación, la compañía encuentra que ocurrió un robo de identidad o fraude, o que probablemente ocurrió. Y Iowa tiene una de las pocas leyes estatales que protege tanto los registros electrónicos como los impresos.

De todos los dolores de cabeza relacionados con el cumplimiento de los datos, este podría ser el más lento para Spuri.us.

Mientras tanto, dijo Freeman, adoptar un enfoque proactivo, como publicar la política de privacidad precisa y veraz y ser sincero y honesto con los usuarios acerca de las prácticas comerciales, dará al inicio una ventaja clara.

«Si comienzan a saber esas cosas desde el punto de vista de la privacidad y solo en los Estados Unidos», dijo Freeman, «ese es un gran comienzo que los pone por delante de muchas otras empresas emergentes».

Manténgase atento a nuestro segundo blog de la serie, que cubrirá la lucha actual por la legislación integral de privacidad de datos en los Estados Unidos.

Spotlight on Troldesh ransomware, también conocido como ‘Shade’

Spotlight on Troldesh ransomware, también conocido como 'Shade'

Spotlight on Troldesh ransomware, también conocido como ‘Shade’

Publicado: 6 de marzo de 2019 por 
Última actualización: 5 de marzo de 2019

A pesar de la disminución en el número de infecciones por ransomware en el último año, hay varias familias de ransomware que aún están activas. Ransom.Troldesh , aka Shade, es uno de ellos. Según la telemetría de nuestro producto, Shade ha experimentado un fuerte aumento en las detecciones desde el cuarto trimestre de 2018 hasta el primer trimestre de 2019.

Cuando vemos un rápido aumento en las detecciones de una familia de malware, eso nos dice que estamos en medio de una campaña activa y exitosa. Así que echemos un vistazo a este ransomware «sombrío» para saber cómo se propaga, cuáles son sus síntomas, por qué es peligroso para su negocio y cómo puede protegerse contra él.

Pico de Troldesh

Troldesh se disparó en febrero de 2019

Vector de infeccion

Troldesh, que ha existido desde 2014, generalmente se propaga por malspam, específicamente archivos adjuntos de correo electrónico maliciosos. Los archivos adjuntos suelen ser archivos zip presentados al receptor como algo que «tiene que» abrir rápidamente. El zip extraído es un Javascript que descarga la carga útil maliciosa (también conocido como el propio ransomware). La carga útil a menudo se aloja en sitios con un Sistema de gestión de contenido (CMS) comprometido .

Troldesh ofuscado Javascript

Parte de la ofusca Troldesh Javascript

Como el remitente en los correos electrónicos de Troldesh generalmente es falsificado , podemos suponer que los actores de la amenaza detrás de esta campaña son phishing , con la esperanza de atraer la atención de los usuarios para que abran el archivo adjunto.

Se cree que el origen de Troldesh es ruso porque sus notas de rescate están escritas tanto en ruso como en inglés.

Nota de rescate de Troldesh

Los sistemas de destino están ejecutando el sistema operativo Windows. Las víctimas deberán descomprimir el archivo adjunto y hacer doble clic en el archivo Javascript para que comience la infección.

Comportamiento ransomware

Una vez implementado, el ransomware deja caer una gran cantidad de archivos readme # .txt numerados en la computadora infectada una vez que se completa la rutina de cifrado, lo más probable es que se asegure de que la víctima lea al menos uno de ellos. Estos archivos de texto contienen el mismo mensaje que la nota de rescate.

Extensiones de archivo de destino

Troldesh busca archivos con estas extensiones en unidades fijas, extraíbles y remotas:

.1cd, .3ds, .3fr, .3g2, .3gp, .7z, .accda, .accdb, .accdc, .accde, .accdt, .accdw, .adb, .adp, .ai3, .ai4 , .ai5, .ai6, .ai7, .ai8, .anim, .arw, .as, .asa, .asc, .ascx, .asm, .asmx, .asp, .aspx, .asr, .asx,. avi, .avs, .backup, .bak, .bay, .bd, .bin, .bmp, .bz2, .c, .cdr, .cer, .cf, .cfc, .cfm, .cfml, .cfu, .chm, .cin, .class, .clx, .config, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cub, .dae, .dat, .db, .dbf .dbx, .dc3, .dcm, .dcr, .der, .dib, .dic, .dif, .divx, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm,. dotx, .dpx, .dqy, .dsn, .dt, .dtd, .dwg, .dwt, .dx, .dxf, .edml, .efd, .elf, .emf, .emz, .epf, .eps, .epsf, .epsp, .erf, .exr, .f4v, .fido, .flm, .flv, .frm, .fxg, .geo, .gif, .grs, .gz, .h, .hdr, .hpp .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .indd, .ini, .iqy, .j2c, .j2k, .java, .jp2, .jpc,. jpe, .jpeg,, .jpf, .jpg, .jpx, .js,.jsf, .json, .jsp, .kdc, .kmz, .kwm, .lasso, .lbi, .lgf, .lgp, .log, .m1v, .m4a, .m4v, .max, .md, .mda .mdb, .mde, .mdf, .mdw, .mef, .mft, .mfw, .mht, .mhtml, .mka, .mkidx, .mkv, .mos, .mov, .mp3, .mp4. mpeg, .mpg, .mpv, .mrw, .msg, .mxl, .myd, .myi, .nef, .nrw, .obj, .odb, .odc, .odm, .odp, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .orf, .p12, .p7b, .p7c, .pam, .pbm, .pct, .pcx, .pdd, .pdf, .pdp, .pef .pem, .pff, .pfm, .pfx, .pgm, .php, .php3, .php4, .php5, .phtml, .pict, .pl, .pls, .pm, .png, .pnm,. pot, .potm, .potx, .ppa, .ppam, .ppm, .pps, .ppsm, .ppt, .pptm, .pptx, .prn, .ps, .psb, .psd, .pst, .ptx, .pub, .pwm, .pxr, .py, .qt, .r3d, .raf, .rar, .raw, .rdf, .rgbe, .rle, .rqy, .rss, .rtf, .rw2, .rwl , .safe, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .sr2, .srf, .rw, .ssi, .st, .stm, .svg, .svgz. swf, .tab, .tar, .tbb, .tbi,.tbk, .tdi, .tga, .thmx, .tif, .tiff, .tld, .torrent, .tpl, .txt, .u3d, .udl, .uxdc, .vb, .vbs, .vcs, .vda, .vdr, .vdw, .vdx, .vrp, .vsd, .vss, .vst, .vsw, .vsx, .vtm, .vtml, .vtx, .wb2, .wav, .wbm, .wbm, .wbm .wmf, .wml, .wmv, .wpd, .wps, .x3f, .xl, .xla, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt,. xltm, .xltx, .xlw, .xml, .xps, .xsd, .xsf, .xsl, .xslt, .xsn, .xtp, .xtp2, .xyze, .xz, y .zip

Cifrado

Los archivos se cifran utilizando AES 256 en modo CBC . Para cada archivo cifrado, se generan dos claves AES de 256 bits aleatorias: una se utiliza para cifrar el contenido del archivo, mientras que la otra se utiliza para cifrar el nombre del archivo. Las extensiones mencionadas anteriormente se agregan después del cifrado del nombre de archivo.

Proteger contra Troldesh

Los usuarios de Malwarebytes pueden bloquear Ransom.Troldesh a través de varios módulos de protección diferentes, que pueden impedir que el ransomware cifre archivos en tiempo real.

La protección en tiempo real contra los archivos en nuestras definiciones detiene el propio ransomware:

Troldesh protección en tiempo real

Nuestros módulos anti-exploit y anti-ransomware bloquean el comportamiento sospechoso:

Malwarebytes anti ransomware

Mientras tanto, la protección de sitios web maliciosos de Malwarebytes bloquea los sitios comprometidos:

Protección web

Otros métodos de protección.

Hay algunas medidas de seguridad que puede tomar para evitar llegar a la fase en la que la protección debe activarse o los archivos deben recuperarse.

  • Escanear correos electrónicos con archivos adjuntos. Estos correos sospechosos no deben llegar al usuario final.
  • Educación del usuario. Si llegan al usuario final, se les debe informar que no abran archivos adjuntos de esta naturaleza o que ejecuten archivos ejecutables en archivos adjuntos. Además, si su empresa tiene un plan contra el phishing , deben saber a quién reenviar el correo electrónico en la organización para su investigación.
  • Lista negra La mayoría de los usuarios finales no necesitan poder ejecutar scripts. En esos casos, puede hacer una lista negra de  wscript.exe.
  • Actualización de software y sistemas. La actualización del software puede tapar vulnerabilidades y mantener a raya las vulnerabilidades conocidas.
  • Archivos de respaldo. Las copias de seguridad confiables y fáciles de implementar pueden acortar el tiempo de recuperación.

Remediación

Si debe llegar al punto donde es necesaria la reparación, estos son los pasos a seguir:

  • Realizar un escaneo completo del sistema. Malwarebytes puede detectar y eliminar Ransom.Troldesh sin más interacción del usuario.
  • Recuperar archivos. La eliminación de Troldesh no descifra sus archivos. Solo puede recuperar sus archivos de las copias de seguridad que realizó antes de que ocurriera la infección o realizando una operación de reversión.
  • Deshazte del culpable. Eliminar el correo electrónico que fue la causa raíz.

Descifrado

A pesar de que AES 256 es un algoritmo de cifrado sólido, existen herramientas gratuitas de descifrado disponibles para algunas de las variantes de Troldesh. Puede encontrar más información sobre estas herramientas de descifrado en NoMoreRansom.org (busque bajo «Sombra» en la lista alfabética).

Las víctimas de Troldesh reciben un código único, una dirección de correo electrónico y una URL a una dirección de cebolla. Se les pide que se pongan en contacto con la dirección de correo electrónico mencionando su código o que vayan al sitio de cebolla para obtener más instrucciones. No se recomienda pagar a los autores del rescate, ya que financiará su próxima ola de ataques.

Lo que diferencia a Troldesh de otras variantes de ransomware es la gran cantidad de archivos readme # .txt con la nota de rescate colocada en el sistema afectado y el contacto por correo electrónico con el actor de amenazas. De lo contrario, emplea un vector de ataque clásico que se basa principalmente en engañar a las víctimas no informadas. Sin embargo, ha tenido bastante éxito en el pasado y en su actual ola de ataques. Los descifradores gratuitos disponibles solo funcionan en algunas de las variantes más antiguas, por lo que las víctimas probablemente tendrán que confiar en las copias de seguridad o en las funciones de retroceso.

IOCs

Ransom.Troldesh ha usado las siguientes extensiones para archivos encriptados:

.xtbl 
.ytbl 
.cbtl 
.no_more_ransom 
.better_call_saul 
.breaking_bad 
.heisenberg 
.da_vinci_code 
.magic_software_syndicate 
.windows10 
.crypted000007 
.crypted000078

Contactos :
Novikov.Vavila@gmail.com
Selenadymond@gmail.com
RobertaMacDonald1994@gmail.com
IPs
TCP 154.35.32.5 443 saliente
Bitcoin:
1Q1FJJyFdLwPt5yyZAQ8kfxfeWq8eoD25E
Dominio
cryptsen7fo43rr6.onion