Los estafadores de soporte técnico son conocidos por participar en un juego de locos con defensores. Por ejemplo , el mes pasado hubo informes de que los delincuentes habían invadido Microsoft Azure Cloud Services para alojar páginas de advertencia falsas, también conocidas como bloqueadores de navegadores. En este blog, echamos un vistazo a una de las principales campañas que es responsable de dirigir el tráfico a esas páginas scareware alojadas en Azure.
Descubrimos que los estafadores han estado comprando anuncios que se muestran en los principales portales de Internet para dirigirse a un grupo demográfico más antiguo. De hecho, estaban usando resultados de búsqueda pagados para dirigir el tráfico hacia blogs de señuelos que redirigirían a las víctimas a una página de bloqueo de cejas.
Este esquema ha estado funcionando durante meses y se ha intensificado recientemente, manteniendo al mismo tiempo el mismo modus operandi. Aunque no son demasiado sofisticados, los actores de amenazas detrás de esto han podido abusar de las principales plataformas publicitarias y los proveedores de alojamiento durante varios meses.
Aprovechamiento de resultados de búsqueda pagados
Las estafas de soporte técnico se distribuyen normalmente a través de campañas de publicidad maliciosa. El tráfico de adultos baratos suele ser el primero en la lista para muchos grupos de estafadores. No solo es rentable, sino que también contribuye a la psicología de los usuarios que creen que se infectaron después de visitar un sitio web poco fiable.
Otras veces, vemos a los estafadores apuntando activamente a las marcas al tratar de hacerse pasar por ellas. La idea es atraer a las víctimas que buscan apoyo con un producto o servicio en particular. Sin embargo, en esta campaña en particular, los delincuentes se dirigen a personas que buscan recetas de comida.
Hay dos tipos de resultados de una página de resultados del motor de búsqueda (SERP):
Resultados de búsqueda orgánicos que coinciden con la consulta de búsqueda del usuario en función de la relevancia. Los sitios que figuran en la lista superior suelen ser los que tienen la mejor optimización de motores de búsqueda (SEO).
Resultados de búsqueda pagados, que son básicamente anuncios relevantes para la consulta del usuario. Requieren un presupuesto determinado donde no todas las palabras clave tienen el mismo costo.
Debido a que los resultados de búsqueda pagados generalmente se muestran en la parte superior (a menudo combinados con los resultados de búsqueda orgánicos), tienden a generar más clics.
Buscamos varias recetas en varios portales web diferentes (CenturyLink, Att.net, Yahoo! search y xfinity) y pudimos encontrar fácilmente los anuncios comprados por los estafadores.
No tenemos métricas exactas sobre cuántas personas hicieron clic en esos anuncios, pero podemos inferir que esta campaña atrajo una cantidad significativa de tráfico en función de dos indicadores: el primero es nuestra propia telemetría y el segundo de un acortador de URL utilizado por uno de los sitios web:
Si bien esos anuncios son típicos y coinciden bastante bien con nuestra búsqueda de palabras clave, en realidad se redirigen a sitios web creados con intenciones maliciosas.
Sitios web de señuelos
Para apoyar su plan, los estafadores han creado una serie de blogs relacionados con los alimentos. El contenido parece ser genuino, e incluso hay algunos comentarios sobre muchos de los artículos.
Sin embargo, tras una inspección más cercana, podemos ver que esos sitios básicamente han tomado contenido de varios sitios de desarrolladores web que ofrecen plantillas HTML gratuitas o de pago. “<! – Mirrored from …” es un artefacto dejado por la herramienta de copiadora del sitio web de HTTrack . Incidentalmente, este tipo de reflejo es algo que a menudo presenciamos cuando se trata de páginas de bloqueo de navegador que se han copiado de otros sitios.
Durante nuestras pruebas, visitar esos sitios directamente no generó ningún redireccionamiento malicioso, y parecían ser absolutamente benignos. Con solo pruebas circunstanciales y sin la llamada pistola humeante, todavía no se pudo establecer un caso.
Cadena de infección completa
Después de algunas pruebas y errores que incluyeron el intercambio de varias cadenas de Usuario-Agente y evitar el uso de VPN comerciales, finalmente pudimos reproducir una cadena de infección completa, desde el anuncio original hasta la página de bloqueo del navegador.
La URL del blog se llama tres veces consecutivas, y la última realiza una solicitud POST con el eventual redireccionamiento condicional al bloqueo de cejas. En la captura de pantalla a continuación, puede ver la diferencia entre el encubrimiento adecuado (sin comportamiento malicioso) y la redirección a una página de bloqueo de cejas:
Página de browlock
La página de advertencia falsa es bastante estándar. Comprueba el tipo de navegador y sistema operativo para mostrar la plantilla adecuada para las víctimas de Windows y Mac OS.
Los estafadores a menudo registran rangos completos de nombres de host en Azure mediante iteraciones a través de números adjuntos a cadenas aleatorias. Si bien muchas de esas páginas se bajan rápidamente, las nuevas se están recuperando constantemente para mantener la campaña en marcha. Aquí hay algunos patrones de URI que observamos:
10-server [.] Azurewebsites [.] Net / call-now1 / 2securityxew-561error [.] Azurewebsites [.] Net / Call-Now1 / 10serverloadingfailed-hgdfc777error [.] Azurewebsites [.] Net / chx / 11iohhwwwefefuown. azurewebsites [.] net / Call-Support1 / 11serversecurityjunkfile-65error [.] azurewebsites [.] net / Call-Mac-Support / 2serverdatacrash-de-12error [.] azurewebsites [.] net / mac / 2systemservertemporaryblockghjccccc- azurewebsites [.] net / mac-support /
Creemos que los delincuentes también pueden estar rotando el sitio de señuelo que realiza la redirección además del filtrado de usuario existente para evitar la detección de los escáneres de seguridad.
Encontrar a los perpetradores
No aprobamos la interacción directa con los estafadores, pero parte de esta investigación fue sobre quién estaba detrás de esta campaña para tomar medidas y evitar más víctimas.
Para continuar con el engaño, los técnicos deshonestos nos mintieron sobre el estado de nuestra computadora e inventaron amenazas imaginarias. El objetivo era vender paquetes de soporte costosos que en realidad agregan poco valor.
La empresa que vende esos servicios es A2Z Cleaner Pro (también conocida como Coretel Communications) y una víctima la identificó previamente en agosto de 2018 en un comentario de blog en el sitio web de la FTC.
Su sitio web está alojado en 198.57.219.8, donde encontramos otros dos artefactos interesantes. La primera es una compañía llamada CoreTel que también es utilizada por los estafadores como una especie de entidad comercial. Parece ser una estafa de otro dominio que ya existía por varios años y también alojado en la misma dirección de IP:
Y luego, hay dos nuevos sitios de recetas que se registraron en junio y, al igual que en los anteriores, también usan contenido copiado de otros lugares:
Mitigación y derribo.
La extensión del navegador de Malwarebytes ya estaba bloqueando heurísticamente las diversas páginas de bloqueo de cejas.
Inmediatamente informamos los anuncios fraudulentos a Google y Microsoft (Bing), así como los blogs de señuelos a GoDaddy. La mayoría de sus dominios ya han sido eliminados y sus campañas publicitarias han sido prohibidas.
Esta campaña de estafa de soporte técnico se dirigió hábilmente a un segmento mayor de la población mediante el uso de resultados de búsqueda pagados para recetas de alimentos a través de portales en línea utilizados por muchos proveedores de servicios de Internet.
No hay duda de que los estafadores continuarán abusando de las plataformas publicitarias y los proveedores de alojamiento para llevar a cabo su negocio. Sin embargo, la cooperación de la industria para los derribos puede retrasarlos y evitar que miles de víctimas sean defraudadas.
Indicadores de compromiso
Blogs de señuelos
alhotcake [.] com bestrecipesus [.] com cheforrecipes [.] com chilly-recipesfood [.] com cookwellrecipes [.] com dezirerecipes [.] com dinnerplusrecipes [.] com dinnerrecipiesforu.com handmaderecipies [com] homecookedrecipe [.] com hotandsweetrecipe [.] com just-freshrecipes [.] com lunch-recipesstore [.] com mexirecipes [.] com neelamrecipes [.] com nidhikitchenrecipes [.] com organicrecipesandfood [.] com recipes4store [.] com recipestores [.] com royalwarerecipes [.] com smokyrecipe [.] com specialsweetrecipes [.] com starcooking [.] starrecipies del club [.] com sweethomemadefoods [.] com tatesty-recetas [.] com today4recipes [.] com tophighrecipes [.] com toptipsknowledge [.] com totalspicyrecipes [.] com vegfood-recetas [.] com yammy-recetas [.] com handmaderecipies [.] com homecookedrecipe [.] com com hotandsweetrecipe [.] just-freshrecipes [.] com almuerzo-recipesstore [.] com mexirecipes [.] com neelamrecipes [.] com nidhikitchenrecipes [.] com organicrecipesandfood [.] com recipes4store [.] com recipestores [.] com royalwarerecipes [.] com smokyrecipe [.] com specialsweetrecipes [.] com starcooking [.] starrecipies club [.] com sweethomemadefoods [.] com tatesty-recetas [.] com today4recipes [.] com tophighrecipes [.] com toptipsknowledge [.] com totalspicyrecipes [.] com vegfood-recipes [.] com yammy-recetas [.] com healthycookingidea [.] com recipesstudios [.] com
a2zpcprotection [.] com a2zcleanerpro [.] com
Regex para que coincida con las URI de browlock en Azure
La advertencia de virus de Smart TV se pierde: un peculiar mensaje promocional de advertencia sobre los peligros que representan los televisores inteligentes desaparece . ¿Pero por qué? (Fuente: El Registro)
Las cámaras Nest usadas permiten el acceso continuo a la cámara: esto se ha corregido, pero sigue leyendo para ver qué sucede en el reino de IoT cuando los dispositivos antiguos se conectan de la forma en que preferirías que no lo hicieran . (Fuente: Wirecutter)
Los perfiles falsos en LinkedIn van a espiar: una historia interesante de estafadores que utilizan imágenes de perfil generadas por AI para hacer que sus cuentas falsas se vean un poco más creíbles . (fuente: seguridad desnuda)
Bella Thorne lucha contra los extorsionadores: la actriz decidió compartir fotografías robadas de sí misma para enseñarle una lección a un hacker. (Fuente: Hollywood Reporter)
Este phish es un fanático de la encriptación: una nueva estafa reclama que un mensaje encriptado está esperando, pero es necesario iniciar sesión para poder verlo . (Fuente: Bleeping Computer)
Problemas con las aplicaciones móviles: abundan las vulnerabilidades de alto riesgo tanto en aplicaciones iOS como en Android . (Fuente: Help Net Security)
Twitter toma cuentas patrocinadas por el estado: la plataforma de redes sociales eliminó alrededor de 5,000 cuentas que se utilizan para impulsar la propaganda . (Fuente: Infosecurity Magazine)
Durante el fin de semana, recibí este mensaje no solicitado de un conocido en Steam:
1 juego gratis para nuevos usuarios! Tome el juego que desee https://t.co/{redacted}
Afortunadamente, otros amigos en Steam fueron rápidos en advertir públicamente a otros acerca de las cuentas potencialmente hackeadas, enviando mensajes dudosos a cualquier persona (si no a todos) en su red. Estuve leyendo estas horas de advertencia antes de recibir una muestra del mensaje de spam en mi propia cuenta.
Una búsqueda en línea superficial revela que esta campaña ha estado ocurriendo desde mediados de marzo de este año. Debido a que es bastante bajo perfil, no muchos fueron capaces de profundizar en él. Intentaremos hacer eso aquí.
La última campaña de phishing de Steam: un recorrido
Los usuarios de Steam tuvieron razón al señalar que esta URL acortada efectivamente redirige a un dominio de phishing, pero no de inmediato.
Al hacer clic en el enlace t.co , que es una URL abreviada de Twitter, en el chat se lleva a los usuarios al sitio que hay detrás: steamredirect [punto] divertido . Este es el dominio de re-director que lleva a los usuarios a la página de phishing «adecuada», que pretende ser un sitio donde se pueden ganar juegos gratis.
En el medio del sitio se encuentra la sección «Pruebe su suerte», un juego de ruleta donde los usuarios pueden obtener su (supuesto) juego gratuito. Todo lo que tienen que hacer es presionar el botón azul Play.
Luego, la página le muestra al usuario que tiene menos de 30 minutos para reclamar la clave completa al iniciar sesión en su cuenta de Steam a través del sitio web. Al mismo tiempo, la página también muestra que el usuario tendría que esperar 24 horas antes de poder rodar la ruleta nuevamente y obtener otro juego gratuito.
Al hacer clic en el botón Iniciar sesión a través de Steam aquí, o en la esquina superior derecha del sitio, se abre una página que se parece a la página de inicio de sesión de Steam de terceros no afiliada estándar. Esto es como una ventana emergente o una nueva pestaña. El sitio hizo ambas cosas durante varias pruebas.
Aquí hay algunas razones por las que, en este punto, los usuarios de Steam deberían comenzar a considerar abandonar todos los sitios y no entregar sus credenciales:
Los enlaces en la página, como «Configuración de privacidad del perfil» y «crear una cuenta» no funcionan.
La barra de direcciones URL está en blanco. Los sitios legítimos de terceros no afiliados muestran un certificado EV para Valve Corp, y la URL en la barra de direcciones indica que el inicio de sesión se realiza en steamcommunity.com .
El cuadro desplegable Idioma en la esquina superior derecha no funciona. También parece estar en ruso, incluso cuando los visitantes están fuera de Rusia.
El suministro de credenciales a esta página de phishing, como sabemos, hará que las cuentas sean secuestradas para que proliferen aún más los enlaces de phishing.
Los enlaces en campañas idénticas en el pasado no estaban ocultos detrás de un acortador de URL. Tampoco es de extrañar que estos enlaces siguieran cambiando. En este caso, las URL acortadas se han redirigido a los siguientes dominios, que tienen menos de cuatro meses, en algún momento:
easyk3y [punto] com
ezzkeys [punto] com
g4meroll.com
g4me5.com
gift4keys [punto] com
gifts-key [punto] com
ong4me [punto] com
tf2details [punto] com
yes-key [punto] com
Tenga en cuenta que algunos de estos sitios aún están en línea, y si los visita, todos se verán así:
Al momento de escribir este artículo, la única forma de acceder a la página real de «juegos gratis de ruleta» que hemos estado mostrando anteriormente es agregando ciertas cadenas al final de las URL. Eso es probablemente una buena cosa.
Mantén la calma y mantente alerta
Steam siempre ha sido la plataforma elegida por los estafadores durante mucho tiempo debido a sus millones de usuarios activos. Esta no es la primera vez que los usuarios se conocen y reaccionan ante una campaña de phishing. De hecho, este último tiene todos los signos reveladores de campañas anteriores: Steam friend envía un mensaje con un enlace de la nada, el enlace conduce a una página de inicio de sesión de Steam falsa, las credenciales de Steam recopiladas se utilizan para secuestrar cuentas y enviar correos electrónicos falsos a sus amigos.
Sí, todavía hay usuarios de Steam que se enamoran de viejos trucos. Sin embargo, también es bueno ver a los usuarios de Steam darse cuenta del peligro desde el principio, avisar a sus amigos y, si sospechan que están afectados, intente contener sus cuentas zombi para evitar que otros usuarios se pongan en peligro.
Así que mantén la calma, mantente alerta, mantente informado y continúa cuidándonos unos a otros.
No todo está bien en la tierra de la planificación de ciudades inteligentes, ya que el último gran desarrollo planificado de la empresa hermana de Google, Sidewalk Labs, sigue teniendo problemas en Toronto, Canadá.
¿Una oleada de apoyo?
Al parecer, construir una ciudad «desde cero» ya no es una cosa: al menos algunas personas con una mano en el diseño urbano digital están diciendo que ahora «Desde Internet hasta». El plan era tomar la línea de costa de Toronto y transformarla en una innovadora ubicación de ciudad inteligente. Sidewalk Labs consiguió el contrato para diseñar una gran parte de la línea de costa de Toronto en 2017, con potencial de expansión.
La nueva tecnología y un ojo para el diseño ecológico deberían haber sido la guinda del pastel. En cambio, las continuas demoras en revelar lo que está sucediendo están llevando a quejas y grupos de protesta como Block Sidewalk que no están contentos con la dirección que tomaron las cosas.
Un bache en el camino
Resulta que planificar algo como una ciudad inteligente es increíblemente complicado, y las cosas parecen estar retrasándose . Peor aún, nadie parece poder decirle a los residentes exactamente lo que viene en este nuevo mundo de conexión digital. Sidewalk Labs de Google desea probar y establecer un «Estándar global» para la forma en que deben tratarse los datos de los usuarios , pero aún no hay información real disponible sobre cómo funcionará esto en la práctica.
Curiosamente, las preocupaciones sobre la privacidad de los datos ahora están principalmente en primer plano , ya que los grandes críticos de la tecnología influyen. No es divertido cuando su proyecto está en el extremo receptor de comentarios como «Un experimento de colonización en el capitalismo de vigilancia» o «… una visión distópica. eso no tiene cabida en una sociedad democrática «, especialmente si su objetivo principal era construir algunas casas con paneles de madera y un sistema de drenaje funcional.
Varias renuncias del panel asesor e incluso del ex comisionado de privacidad de Ontario, que dicen: «Me imaginé que creamos una ciudad inteligente de privacidad en lugar de una ciudad inteligente de vigilancia» definitivamente no ha ayudado a suavizar las preocupaciones.
El significante claro es que la compra temprana es crucial para que uno de estos proyectos despegue. Sin una afirmación temprana de lo que se puede esperar, las personas se esforzarán y dirán que no, independientemente de lo que se ofrezca.
Puebla, en el centro-este de México, es un buen ejemplo de esto. Tienen 15 ubicaciones programadas para convertirse en ciudades inteligentes. Santa Maria Tonantzintla se ha negado esencialmente a ir más allá después de la falta de información sobre lo que viene a continuación. La demolición de algunos puntos de referencia locales ciertamente no ayudó en nada . Me hubiera vinculado al proyecto de 15 ciudades, pero el sitio web está fuera de línea, lo que puede o no ser muy importante para este tipo de empresa.
Estos son proyectos importantes que se unen a través de una combinación de gobiernos, ayuntamientos y grandes proveedores de tecnología. Idealmente, una ciudad entera se construye desde la nada, con la tecnología esencial necesaria para que todo funcione correctamente desde el principio.
Alguien, en algún lugar, se encuentra al estilo Mago de Oz con un gran banco de control que garantiza que todos los aspectos de la vida cotidiana funcionen a la perfección, desde la recolección de basura y el alumbrado público hasta la gestión del flujo de tráfico y el uso de energía.
Así es como se desarrolla en un mundo ideal sin tener que preocuparse de que las cosas vayan mal, de todos modos. Como verás en breve, las cosas tienden a ir mal un poco. Por ahora, veamos el siguiente estilo de ciudad inteligente.
De abajo hacia arriba ciudades inteligentes
Esto es lo que las personas que viven en una ciudad se levantan cuando las dejan en sus propios dispositivos (probablemente no pretendan hacer un juego de palabras). Crowdfunders, crowdsourcing, pequeñas organizaciones disruptivas que trabajan con comunidades para hacer que las cosas funcionen de manera más eficiente; Todo está aquí, y es tan caótico como te imaginas.
Juntando el rompecabezas
Por supuesto, generalmente es difícil abofetear a una ciudad desde cero y llegar a casa a tiempo para la cena; la mayoría de nuestros pueblos y ciudades ya están aquí con nosotros. Lo que más tenemos es un conjunto aleatorio de enfoques liderados por el consejo y atornillados a infraestructuras que se desmoronan, mientras que las aplicaciones independientes y los proyectos comunitarios hacen lo suyo. Los residentes están, en general, atrapados en medio de este flujo y reflujo, y nunca hay una garantía real de que todo funcione como se espera.
Chanchullos ciudad inteligente
A pesar de sus mejores esfuerzos, los proyectos pueden y se encuentran en situaciones problemáticas. Muchos de ellos ni siquiera están estrictamente relacionados con la seguridad; Es probable que sea más propenso a ser víctima de negligencia o mala planificación. Aun así, el resultado final sigue siendo el mismo, ya sea que alguien haya pirateado el Gibson o no, y un problema seguirá causando dolores de cabeza. A continuación, observamos algunos problemas que enfrentan los estilos superior e inferior de smart city.
Problemas de ciudad inteligente
1) En el Reino Unido, Westminster tuvo problemas cuando la empresa que administraba las luces de la calle de la ciudad fue administrada. Sin nadie en la rueda de la bombilla, los residentes se sorprendieron al encontrar que unas 8,000 luces de la calle se disparaban las 24 horas del día, los 7 días de la semana, durante toda una semana . El consejo local tuvo que pagar una «pequeña tarifa» a los nuevos administradores de la empresa para resolver los problemas.
Si bien usted pensaría que un plan de contingencia estaría en su lugar para la explosión del contrato a este nivel, de alguna manera terminó siendo perdido. Nadie quiere irse a la cama con bombillas inteligentes, por lo general, mucho más brillantes que entran por la ventana, sin mencionar el consumo de energía / el impacto ambiental. Un ejemplo simple pero efectivo de cómo a veces de arriba hacia abajo se equivoca.
2) ¿Qué pasaría si la identidad de todo un barrio desapareciera de los mapas en línea en la medida en que su invisibilidad basada en datos significara que nunca podría encontrarla ? Eso es exactamente lo que le sucedió a la comunidad de Fruit Belt, también conocida como «Medical Park», cortesía de los datos erróneos no solo del Ayuntamiento, sino también de una variedad de empresas de mapeo, organizaciones tecnológicas y agentes de datos.
La lucha de los residentes para reclamar tanto el nombre como el reconocimiento de la ubicación como un espacio físico es algo bastante. Al igual que con Westminster y sus luces 24/7, vemos otra situación en la que las empresas difuntas dejan problemas imprevistos a su paso sin que nadie juegue a limpiar.
3) También existe la amenaza de hacks en un sistema de arriba hacia abajo; controlar el centro, controlar la ciudad . Dispositivos expuestos, contraseñas predeterminadas, vulnerabilidades y fallas críticas, todo listo y esperando que alguien venga y se aproveche. Esperas que se rompa una luz de la calle o que estalle una tubería. Lo que no espera es que las personas manipulen los sistemas de alerta temprana o las señales de tráfico que muestran mensajes aleatorios .
4) Siguiendo con el mismo tema, el proyecto Securing Smart Cities ha hecho mucho trabajo en esta área , que busca formas en que las empresas, los gobiernos, los medios de comunicación y más puedan trabajar juntos para abordar estas inquietudes. Entre otras cosas, han realizado una investigación inteligente sobre cómo los sistemas de CCTV pueden ser un peligro de algo que suena tan banal como no cubrir las etiquetas. También han explicado cómo los malos actores podrían escalar los ataques (por ejemplo) para eliminar los acondicionadores de aire en varias calles o en un radio aún mayor con la ayuda de unos $ 50 equipos. Puede que no parezca un gran problema, pero en un clima caluroso podría ser potencialmente letal para los enfermos o ancianos.
5) Los residentes de Hong Kong que protestaban por la ley de extracción propuesta optaron por evitar usar sus tarjetas de Metro para viajar por temor a ser rastreados por el gobierno . En cambio, optaron por pagos en efectivo como los turistas tienden a hacer. Esta información se ha utilizado en el pasado para hacer cumplir la ley, por lo que uno puede entender su aprensión. En un lugar donde incluso la publicidad se ha usado para nombrar y avergonzar a las camadas de la basura a través del ADN , esto plantea preguntas potentes acerca de dónde, exactamente, se encuentra el poder cuando gran parte de nuestra vida cotidiana es un capricho de los sistemas de arriba hacia abajo.
De abajo hacia arriba problemas de la ciudad inteligente
1) El rastreo en la era de la tecnología inteligente es algo que la gente está naturalmente preocupada. Cuando miré la simulación de pirateo NITE Team 4 , mencioné el seguimiento del teléfono de alguien a través de vallas publicitarias inteligentes. Me sorprendió particularmente que apareciera en un videojuego, porque es un concepto que supuestamente no existe, pero no parece real, pero sí lo es.
¿Vagando por las calles, paseando en un auto, caminando por algunas tiendas? Si su Wi-Fi está habilitado, es muy posible que esté siendo rastreado con fines de marketing .
2) ¿Qué sucede cuando su propietario y / o complejo de edificios decide que ha llegado el momento de que todos reciban cerraduras inteligentes, ya sea que las quieran o no ? El caos es lo que sucede. No todos son fanáticos de tomar el control de las funciones básicas como la seguridad de las instalaciones lejos del residente, y hay múltiples razones convincentes para no tenerlas instaladas.
Caso en cuestión: ¿Qué pasa si hay posibles problemas de seguridad? ¿Qué pasa si se corta la corriente mientras hay un incendio en el apartamento? ¿Qué pasa si las cerraduras dejan de funcionar mientras estás dormido? ¿Quién tiene acceso a los datos? Antes de que te des cuenta, todo se ha vuelto un poco legal y algunas personas en trajes probablemente gritan mucho.
3) Por supuesto, no podemos continuar sin el desorden cada vez mayor que es la tecnología de hogares inteligentes y el caso de IoT y los casos de abuso doméstico . Es un ejemplo escalofriante de lo que puede salir mal con demasiadas tecnologías aleatorias que se combinan en la configuración del mundo real con un actor malicioso en el medio.
Muy a menudo, no hay ninguna posibilidad de que la persona maltratada sea capaz de descubrir dónde están sucediendo las malas tecnologías, y puede ser un desafío para los expertos en tecnología que están familiarizados con estos problemas encontrar un punto de partida decente para su investigación.
Castillos de arena en el mar
Estamos arañando la superficie aquí, pero hay mucho que ver en lo que respecta a la construcción de una ciudad inteligente, ya sea liderada por el gobierno o la gente que lo haga por sí misma . También hay algunas historias de gran éxito en el mundo de las ciudades inteligentes: no todos son desastres, farolas rotas y señales de tránsito que gritan sobre los brotes de zombis.
Por ejemplo, Bristol en el Reino Unido viene a la mente como un gran ejemplo de cómo reconstruir una ciudad de una manera que tenga sentido . Sin embargo, aún queda un largo camino por recorrer antes de que tengamos otras ciudades inteligentes para competir con Bristol, y eso probablemente se aplique al proyecto de la ribera de Toronto, un tanto asediado.
A medida que estos proyectos avanzan, las cuestiones de datos, privacidad y consentimiento parecen ser los lugares donde se dibujan las líneas de batalla principales. Sin algunas respuestas sólidas en su lugar, los generales pueden verse expulsados de la ciudad por una comunidad alegremente sin tecnología.
El Ransomware no es solo un gran problema de la ciudad de Baltimore
Publicado: 31 de mayo de 2019 por Adam Kujawa. Última actualización: 30 de mayo de 2019
Este mes, una historia de ransomware ha estado haciendo muchas olas: el ataque a las redes de la ciudad de Baltimore . Este ataque ha estado recibiendo más presión de lo normal, lo que podría deberse a las acciones tomadas (o no tomadas) por el gobierno de la ciudad, así como a los rumores sobre el mecanismo de infección por ransomware.
En cualquier caso, la historia de Baltimore nos inspiró a investigar otras ciudades en los Estados Unidos, identificando cuáles han tenido la mayor cantidad de detecciones de ransomware este año. Si bien identificamos numerosas ciudades cuyas organizaciones tenían graves problemas de ransomware, Baltimore, y ninguno de los otros ataques a ciudades de alto perfil, como Atlanta o Greenville, no fue una de ellas. Esto sigue una tendencia de aumentar las infecciones por ransomware en las redes organizativas que hemos estado observando desde hace un tiempo .
Para frenar esto, estamos brindando a nuestros lectores una guía sobre cómo no solo evitar ser atacados con ransomware, sino también lidiar con las consecuencias del ransomware. Básicamente, esta es una guía sobre cómo no ser el próximo Baltimore. Si bien muchos de estos ataques están dirigidos, los ciberdelincuentes son oportunistas: si ven que una organización tiene vulnerabilidades, se abalanzarán y causarán el mayor daño posible. Y el ransomware es tan dañino como puede ser.
Ataque de Baltimore ransomware
A partir de hoy, los servidores de la ciudad de Baltimore aún no funcionan. El ataque original ocurrió el 7 de mayo de 2019 , y tan pronto como ocurrió, la ciudad cerró numerosos servidores en sus redes para mantenerlos a salvo de la posible propagación del ransomware.
El ransomware que infectó a Baltimore se llama RobinHood o, a veces, RobinHood ransomware. Cuando se descubrió una nota de rescate, exigió un pago de $ 100,000 o aproximadamente 13 Bitcoins. Al igual que otros ransomware, venía con un temporizador, que exigía que las víctimas pagaran en una fecha determinada, o el costo de la recuperación de archivos aumentaría en $ 10,000 por día.
RobinHood ransomware es una nueva familia de malware, pero ya se ha hecho un nombre para infectar a otras redes de la ciudad, como lo hizo para la Ciudad de Greenville . Según un informe del New York Times, algunos investigadores de malware han afirmado que el exploit filtrado por la NSA EternalBlue está involucrado en el proceso de infección, sin embargo, el análisis de Vitali Kremez en Sentinel One no muestra ningún signo de actividad de EternalBlue. Más bien, el método de propagación del ransomware de un sistema a otro implica la manipulación de la herramienta PsExec .
Este no es el primer ataque cibernético con el que Baltimore ha lidiado recientemente. De hecho, el año pasado sus sistemas de despacho del 911 fueron comprometidos por los atacantes , dejando a los despachadores usando lápiz y papel para realizar su trabajo. Algunos puntos de venta han culpado al diseño de red históricamente ineficiente de la ciudad a los Jefes de Información (CIO) anteriores, de los cuales ha habido muchos. Dos de sus CIOs renunciaron solo en esta década en medio de acusaciones de fraude y violaciones éticas.
Tendencias
Aparte de Baltimore, el ransomware dirigido a organizaciones ha estado activo en los Estados Unidos durante los últimos seis meses, con brotes periódicos y picos masivos que representan un nuevo enfoque para la infección corporativa de los ciberdelincuentes.
El siguiente mapa de calor muestra un efecto compuesto de las detecciones de ransomware en organizaciones en todo el país desde principios de 2019 hasta ahora.
Las áreas principales de detección de cargas pesadas incluyen regiones alrededor de ciudades más grandes, por ejemplo, Los Ángeles y Nueva York, pero también vemos detecciones pesadas en áreas menos pobladas. El siguiente diagrama ilustra aún más esta tendencia: la profundidad de color representa la cantidad de detección general para el estado, mientras que el tamaño de los círculos rojos representa la cantidad de detecciones para varias ciudades. Cuanto más profundo es el color, más detecciones contiene el estado. Cuanto mayor sea el círculo, mayor será el número de detecciones en la ciudad.
Cuando observamos con mayor profundidad e identificamos las 10 ciudades principales en 2019 (hasta ahora) con detecciones de ransomware pesados, vemos que ninguna de ellas incluye ciudades sobre las que hemos leído en las noticias recientemente. Esta tendencia apoya la teoría de que no es necesario estar rodeado de víctimas de ransomware para convertirse en uno.
Dondequiera que el ransomware decida aparecer, aprovechará la infraestructura débil, los problemas de configuración y los usuarios ignorantes para entrar en la red. El ransomware se está convirtiendo en un arma más común para alojarse contra las empresas que en años anteriores. La siguiente tabla expresa el aumento masivo de detecciones de ransomware que vimos a principios de año.
Enero y febrero son brillantes ejemplos del tipo de fuerte empuje que vimos de familias como Troldesh a principios de año. Sin embargo, si bien parece que el ransomware se está extinguiendo después de marzo, pensamos más en ello como los criminales que toman un respiro. Cuando profundizamos en las tendencias semanales, podemos ver picos específicos que se debieron a fuertes detecciones de familias específicas de ransomware.
A diferencia de lo que hemos observado en el pasado con el ransomware centrado en el consumidor, donde se lanzó una amplia red y observamos una constante constante de detecciones, el ransomware se centró en los ataques del mundo corporativo en pulsos cortos. Estos pueden deberse a que ciertos marcos de tiempo son los mejores para atacar a las organizaciones, o puede ser el tiempo requerido para planear un ataque contra usuarios corporativos, lo que requiere la recopilación de correos electrónicos corporativos e información de contacto antes del lanzamiento.
En cualquier caso, la actividad de ransomware en 2019 ya alcanzó un número récord, y aunque solo hemos visto algunos picos en los últimos meses, puede considerar estos baches en la carretera entre dos grandes paredes. Simplemente no hemos golpeado la segunda pared todavía.
Observaciones
A pesar de un aumento en el ransomware que apunta a las redes de organizaciones, las redes de ciudades que han sido afectadas por el ransomware no aparecen en nuestra lista de las principales ciudades infectadas. Esto nos lleva a creer que los ataques de ransomware en la infraestructura de la ciudad, como lo que estamos viendo en Baltimore, no se producen debido a brotes generalizados, sino que son específicos y oportunistas.
De hecho, la mayoría de estos ataques se deben a vulnerabilidades, brechas en la seguridad operativa y una infraestructura débil en general descubierta y explotada por los ciberdelincuentes. A menudo, se afianzan en la organización mediante la captura de empleados en campañas de phishing e infectando puntos finales o teniendo la suficiente confianza como para lanzar una campaña de phishing contra objetivos de alto perfil en la organización.
También siempre se debe tener en cuenta las configuraciones erróneas, la actualización lenta o la aplicación de parches, e incluso las amenazas internas que son la causa de algunos de estos ataques. Los investigadores de seguridad y los funcionarios de la ciudad aún no tienen una respuesta concreta sobre cómo RobinHood infectó los sistemas de Baltimore en primer lugar.
Evitación
Hay varias respuestas a la pregunta, » ¿Cómo puedo vencer el ransomware? ”Y desafortunadamente, ninguno de ellos aplica el 100 por ciento del tiempo. Los delincuentes cibernéticos pasaron la mayor parte del 2018 experimentando con nuevos métodos para romper las defensas con ransomware, y parece que están poniendo a prueba esas experimentaciones en 2019. Incluso si las organizaciones siguen «todas las reglas», siempre hay nuevas oportunidades para infección. Sin embargo, hay maneras de adelantarse al juego y evitar los peores escenarios. Aquí hay cuatro áreas que deben tenerse en cuenta al intentar planificar los ataques de ransomware:
Parches
Si bien dijimos que EternalBlue probablemente no participó en la propagación del ransomware RobinHood, ha sido utilizado por otras familias de ransomware y malware en el pasado. Con este fin, los sistemas de parches se están volviendo cada vez más importantes, ya que los desarrolladores no solo están corrigiendo errores de usabilidad o añadiendo nuevas funciones, sino que están llenando los huecos que pueden ser explotados por los malos.
Si bien la aplicación de parches rápidamente no siempre es posible en una red empresarial, es necesario identificar qué parches se requieren para evitar un posible desastre y desplegarlos en un ámbito limitado (como en los sistemas más vulnerables o que contienen datos altamente prioritarios). En la mayoría de los casos, los parches de inventario y auditoría deben completarse, independientemente de si el parche se puede extender a través de la organización o no.
Actualizaciones
Durante los últimos siete años, muchos desarrolladores de software, incluidos los de sistemas operativos, han creado herramientas para ayudar a combatir el delito informático dentro de sus propios productos. Estas herramientas a menudo no se ofrecen como una actualización del software existente, pero se incluyen en versiones actualizadas. Windows 10, por ejemplo, tiene capacidades antimalware integradas en el sistema operativo, lo que lo convierte en un objetivo más difícil para los ciberdelincuentes que Windows XP o Windows 7. Observe qué software y sistemas están llegando al final de su ciclo de desarrollo. . Si una organización los ha eliminado del soporte, entonces es una buena idea buscar la actualización del software por completo.
Además de los sistemas operativos, es importante al menos considerar y probar una actualización de otros recursos en la red. Esto incluye varias herramientas de nivel empresarial, como plataformas de colaboración y comunicación, servicios en la nube y, en algunos casos, hardware .
Email
Hoy en día, los ataques por correo electrónico son el método más común de propagación de malware, ya sea mediante el uso de ataques de phishing generalizados que engañan a quienes puedan o los ataques de phishing especialmente diseñados, en los que se engaña a un objetivo en particular.
Por lo tanto, hay tres áreas en las que las organizaciones pueden enfocarse cuando se trata de evitar las infecciones por ransomware o cualquier tipo de malware. Esto incluye herramientas de protección de correo electrónico, capacitación de concienciación sobre seguridad y educación del usuario , y bloqueo posterior a la ejecución de correo electrónico.
Existen numerosas herramientas que proporcionan seguridad adicional y posible identificación de amenazas para los servidores de correo electrónico. Estas herramientas reducen la cantidad de posibles correos electrónicos de ataque que recibirán sus empleados, sin embargo, pueden ralentizar el envío y la recepción de correos electrónicos debido a que comprueban todo el correo que entra y sale de la red.
Sin embargo, la educación del usuario implica enseñar a sus usuarios cómo es un ataque de phishing . Los empleados deben poder identificar una amenaza basada en la apariencia en lugar de la funcionalidad y, al menos, saber qué hacer si se encuentran con un correo electrónico de este tipo. Indique a los usuarios que reenvíen correos electrónicos sospechosos a los equipos de seguridad o de TI internos para investigar más a fondo la amenaza.
Finalmente, el uso de software de seguridad de punto final bloqueará muchos intentos de infección por correo electrónico, incluso si el usuario termina abriendo un archivo adjunto malicioso. La solución de punto final más efectiva debe incluir tecnología que bloquee los exploits y los scripts maliciosos, así como la protección en tiempo real contra sitios web maliciosos. Si bien algunas familias de ransomware tienen descifradores disponibles que ayudan a las organizaciones a recuperar sus archivos, la reparación de los ataques exitosos de ransomware rara vez devuelve datos perdidos.
Seguir los consejos anteriores proporcionará una mejor capa de defensa contra los métodos principales de infección hoy en día, y puede ayudar a su organización a repeler los ataques cibernéticos más allá del ransomware.
Preparación
Obviamente, ser capaz de evitar la infección en primer lugar es preferible para las organizaciones, sin embargo, como se mencionó anteriormente, muchos actores de amenazas desarrollan nuevos vectores de ataque para penetrar las defensas de las empresas. Esto significa que no solo debe establecer una protección para evitar una violación, sino que debe preparar su entorno para una infección que se contagiará.
La preparación de su organización para un ataque de ransomware no debe tratarse como un «si» sino como un «cuándo» si espera que sea útil.
Para ese fin, aquí hay cuatro pasos para preparar a su organización para el «cuándo» experimenta un ataque de ransomware.
Paso 1: Identificar datos valiosos
Muchas organizaciones segmentan su acceso a los datos según la necesidad requerida. Esto se denomina compartimentación, y significa que ninguna entidad individual dentro de la organización puede acceder a todos los datos. Para ello, necesita compartimentar sus datos y cómo se almacenan con el mismo espíritu. El objetivo de hacer esto es mantener los datos más valiosos (y el mayor problema si se pierden) segmentados de los sistemas, las bases de datos o los usuarios que no necesitan acceder a estos datos de manera regular, lo que hace más difícil que los delincuentes roben o Modificar dichos datos.
La información de identificación personal , la propiedad intelectual y la información financiera de los clientes son tres tipos de datos que deben identificarse y segmentarse del resto de su red. ¿Para qué necesita Larry, el pasante, acceso a los datos del cliente? ¿Por qué la fórmula secreta para el producto que vende en el mismo servidor que los cumpleaños de los empleados?
Paso 2: Segmentar esos datos
Si es necesario, debe desplegar servidores o bases de datos adicionales que pueda colocar detrás de capas adicionales de seguridad, ya sea otro cortafuegos, autenticación multifactor o simplemente limitando la cantidad de usuarios que pueden tener acceso. Aquí es donde los datos identificados en el paso anterior van a vivir.
Dependiendo de sus necesidades operativas, es posible que deba acceder a algunos de estos datos más que a otros y, en ese caso, debe configurar su seguridad para tenerla en cuenta, de lo contrario, podría dañar la eficiencia operativa más allá del punto donde corre el riesgo. vale la recompensa
Algunos consejos generales sobre la segmentación de datos:
Mantenga el sistema con estos datos lejos de la Internet abierta.
Requerir requisitos de inicio de sesión adicionales, como una autenticación VPN o multifactor para acceder a los datos
Debe haber una lista de sistemas y qué usuarios tienen acceso a los datos de qué sistemas. Si un sistema es violado de alguna manera, ahí es donde empiezas.
Si tiene el tiempo y los recursos, despliegue un servidor que apenas tenga protección, agregue datos que parezcan legítimos pero que, en realidad, sean falsos, y asegúrese de que sean vulnerables y fáciles de identificar por un atacante. En algunos casos, los delincuentes tomarán el fruto de poca importancia y se irán, asegurando que sus datos valiosos reales permanezcan intactos.
Paso 3: Copia de seguridad de datos
Ahora sus datos se han segmentado según la importancia que tienen, y están detrás de una capa de seguridad mayor que antes. El siguiente paso es identificar y priorizar una vez más los datos importantes para determinar cuánto de ellos se puede hacer una copia de seguridad (es de esperar que todos los datos importantes, si no todos los datos de la compañía). Hay algunas cosas a tener en cuenta al decidir qué herramientas usar para establecer una copia de seguridad segura:
¿Es necesario actualizar estos datos con frecuencia?
¿Es necesario que estos datos permanezcan en mi seguridad física?
¿Qué tan rápido necesito poder realizar una copia de seguridad de mis datos?
¿Qué tan fácil debería ser acceder a mis copias de seguridad?
Cuando pueda responder estas preguntas, podrá determinar qué tipo de solución de almacenamiento a largo plazo necesita. Hay tres opciones: en línea, local y fuera del sitio.
En línea
El uso de una solución de respaldo en línea probablemente sea lo más rápido y fácil para sus empleados y / o personal de TI. Puede acceder desde cualquier lugar, usar la autenticación de múltiples factores y estar tranquilo sabiendo que está asegurado por personas que protegen los datos para ganarse la vida. La copia de seguridad puede ser rápida e indolora con este método, sin embargo, los datos están fuera del control físico de la organización y, si se viola el servicio de copia de seguridad, eso podría comprometer sus datos.
En general, las soluciones de respaldo en línea probablemente sean la mejor opción para la mayoría de las organizaciones, debido a lo fácil que son para configurar y utilizar.
Local
Tal vez su organización requiere copias de seguridad de almacenamiento local. Este proceso puede variar desde increíblemente molesto y difícil a super fácil e inseguro.
El almacenamiento local le permite almacenar sin conexión, pero en el sitio, manteniendo una presencia de seguridad física. Sin embargo, está limitado por su personal, recursos y espacio sobre cómo puede establecer una operación de respaldo localmente. Además, los datos operativos que deben utilizarse diariamente pueden no ser candidatos para este tipo de método de copia de seguridad.
Fuera del sitio
Nuestra última opción es almacenar datos en discos duros o cintas extraíbles y luego guardarlos en un lugar externo. Esto podría ser preferible si los datos son especialmente sensibles y deben mantenerse alejados de la ubicación en la que se crearon o usaron. El almacenamiento externo asegurará que sus datos estén seguros si el edificio explota o es allanado, pero el proceso puede ser lento y tedioso. Tampoco es probable que utilice este método para datos operativos que requieren acceso y copias de seguridad regulares.
Las copias de seguridad externas solo son necesarias en casos de almacenamiento de información extremadamente confidencial, como secretos del gobierno, o si los datos deben mantenerse y conservarse para los registros, pero no se requiere acceso regular.
Paso 4: Crea un plan de aislamiento
Nuestro último paso para preparar a su organización para un ataque de ransomware es saber exactamente cómo aislará un sistema infectado. La velocidad y el método en que lo hace podría salvar los datos de toda la organización de una infección de ransomware que se propaga activamente.
Un buen plan de aislamiento tiene en cuenta tantos factores como sea posible:
¿Qué sistemas se pueden aislar rápidamente y cuáles necesitan más tiempo (p. Ej., Puntos finales frente a servidores)?
¿Se puede aislar el sistema local o remotamente?
¿Tienes acceso físico?
¿Qué tan rápido puedes aislar los sistemas conectados al infectado?
Hágase estas preguntas sobre cada sistema en su red. Si la respuesta a la rapidez con la que puede aislar un sistema «no es lo suficientemente rápida», entonces es hora de considerar la reconfiguración de su red para acelerar el proceso.
Afortunadamente, existen herramientas que brindan a los administradores de red la capacidad de aislar remotamente un sistema una vez que se detecta una infección. Invertir tiempo y recursos para garantizar que tenga un plan efectivo para proteger los otros sistemas en su red es primordial con el tipo de amenazas que vemos hoy.
Resiliencia ransomware
Como hemos cubierto, ha habido un gran aumento en el ransomware centrado en la organización en 2019 y esperamos ver más picos en los próximos meses, pero no necesariamente en las ciudades que podría esperar. La realidad es que las grandes ciudades principales afectadas por el ransomware conforman solo algunos de los cientos de ataques de ransomware que se producen todos los días contra organizaciones de todo el país.
Los ciberdelincuentes no obedecerán las reglas sobre cómo realizar los ataques. De hecho, están constantemente buscando nuevas oportunidades, especialmente en lugares donde los equipos de seguridad no están cubriendo activamente. Por lo tanto, gastar todos sus recursos en medidas de evitación va a dejar a su organización en un mal lugar.
Tomarse el tiempo para establecer un plan para cuando sea atacado y construir sus redes, políticas y cultura en torno a ese concepto de resiliencia evitará que su organización se convierta en otro titular.