El 16 de marzo, la Oficina Federal de Investigaciones (FBI) emitió una alerta «Flash» sobre el ransomware PYSA después de un aumento en los ataques de este mes contra instituciones en el sector educativo, particularmente educación superior, K-12 y seminarios. Según la alerta [PDF], el Reino Unido y 12 estados de EE. UU. Ya se han visto afectados por esta familia de ransomware.
PYSA, también conocida como Mespinoza, se vio por primera vez en estado salvaje en octubre de 2019, donde se usó inicialmente contra grandes redes corporativas.
CERT Francia emitió una alerta hace un año sobre PYSA ampliando su alcance para incluir organizaciones gubernamentales francesas y otros gobiernos e instituciones fuera de Francia. PYSA fue categorizado como uno de los cazadores de caza mayor, uniéndose a las filas de Ryuk , Maze y Sodinokibi (REvil) . Los ataques de ransomware de «gran juego» se dirigen a organizaciones enteras, y los actores de amenazas operan su ransomware manualmente, después de pasar tiempo ingresando a las redes de una organización y realizando reconocimientos.
PYSA / Mespinoza puede llegar a las redes de las víctimas a través de campañas de phishing o mediante la fuerza bruta de las credenciales del Protocolo de escritorio remoto (RDP) para obtener acceso.
Antes de descargar y detonar la carga útil del ransomware, también se descubrió que los actores de amenazas detrás de este ransomware realizaban un reconocimiento de red utilizando herramientas de código abierto como Advanced Port Scanner y Advanced IP Scanner. También instalan otras herramientas similares, como Mimikatz, Koadic y PowerShell Empire (por nombrar algunas), para escalar privilegios y moverse lateralmente.
Los actores de la amenaza desactivan la protección de seguridad en la red, filtran archivos y cargan los datos robados en Mega.nz, un servicio de almacenamiento y uso compartido de archivos en la nube. Después de esto, PYSA se implementa y ejecuta. Todos los archivos cifrados en Windows y Linux, las dos plataformas a las que se dirige principalmente este ransomware, tendrán el .pysasufijo.
El informe del FBI también revela una posible táctica de doble extorsión que podría ocurrir contra las víctimas: “En incidentes anteriores, los ciber actores exfiltraron registros de empleo que contenían información de identificación personal (PII), información de impuestos sobre la nómina y otros datos que podrían usarse para extorsionar a las víctimas para pagar un rescate «.
En los últimos seis meses, el FBI y otras organizaciones encargadas de hacer cumplir la ley han estado advirtiendo al sector educativo sobre una mayor actividad de amenazas contra ellos. Y esto no se limita solo a los ataques de ransomware. También entran en juego las campañas de phishing y la typosquatting de dominios .
La alerta «Flash» del FBI incluye estas mitigaciones recomendadas para objetivos potenciales.
Para prevenir ataques:
Instale actualizaciones de seguridad para sistemas operativos, software y firmware tan pronto como se publiquen.
Utilice la autenticación multifactor siempre que sea posible.
Evite reutilizar contraseñas para diferentes cuentas e implemente el plazo más corto aceptable para los cambios de contraseña.
Desactive los puertos RDP no utilizados y supervise el acceso remoto / registros RDP.
Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso con los privilegios más bajos que pueda.
Utilice software antivirus y antimalware actualizado en todos los hosts.
Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas. Considere instalar y usar una VPN.
Considere agregar un banner de correo electrónico a los mensajes que provengan de fuera de su organización.
Deshabilite los hipervínculos en los correos electrónicos recibidos.
Brindar a los usuarios capacitación sobre los principios y técnicas de seguridad de la información, así como los riesgos emergentes de seguridad cibernética.
Para mitigar los efectos de un ataque:
Realice copias de seguridad de los datos y utilice espacios vacíos y contraseñas para que los atacantes no puedan acceder a ellos.
Utilice la segmentación de la red para dificultar el movimiento lateral.
Implemente un plan de recuperación y mantenga varias copias de datos confidenciales o de propiedad en ubicaciones seguras, segmentadas y separadas físicamente.
El equipo de investigación de vulnerabilidades del navegador de Microsoft ha encontrado e informado una vulnerabilidad en el componente de audio de Google Chrome. Google ha solucionado esta vulnerabilidad de alta gravedad ( CVE-2021-21166 ) en su navegador Chrome y advierte a los usuarios de Chrome que existe un exploit en la naturaleza para la vulnerabilidad. No es la primera vez que un exploit ataca el componente de audio de Chrome.
No hay detalles disponibles
Los detalles adicionales sobre la vulnerabilidad están restringidos hasta que la mayoría de los usuarios de Chrome se hayan actualizado a la versión parcheada del software. Lo que sí sabemos es que se trata de un problema del ciclo de vida de un objeto en el componente de audio del navegador.
Un ciclo de vida de un objeto se utiliza en la programación orientada a objetos para describir el tiempo entre la creación de un objeto y su destrucción. Fuera del ciclo de vida, el objeto ya no es válido, lo que podría generar una vulnerabilidad.
Por ejemplo, si todo sale según lo planeado con el ciclo de vida, la cantidad correcta de memoria de la computadora se asigna y se recupera en los momentos adecuados. Si no funciona bien y la memoria está mal administrada, eso podría conducir a una falla, o vulnerabilidad, en el programa.
Más vulnerabilidades parcheadas en la actualización
Como es habitual, Google corrigió varias otras vulnerabilidades y errores en la misma actualización. Algunas de las otras vulnerabilidades se enumeraron con alta gravedad:
Google dijo que solucionó tres fallas de desbordamiento del búfer de pila en los componentes TabStrip ( CVE-2021-21159 , CVE-2021-21161 ) y WebAudio ( CVE-2021-21160 ). Se encontró un error de uso después de la liberación de alta gravedad ( CVE-2021-21162 ) en WebRTC. Otras dos fallas de alta gravedad incluyen un problema de validación de datos insuficientes en el modo de lectura ( CVE-2021-21163 ) y un problema de validación de datos insuficientes en Chrome para iOS ( CVE-2021-21164 ).
Los CVE
Las fallas de seguridad informática divulgadas públicamente se enumeran en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE). Su objetivo es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios).
CVE-2021-21159, CVE-2021-21161: Desbordamiento del búfer de pila en TabStrip. Montón es el nombre de una región de la memoria de un proceso que se utiliza para almacenar variables dinámicas. Un desbordamiento de búfer es un tipo de vulnerabilidad de software que existe cuando un área de memoria dentro de una aplicación de software alcanza su límite de dirección y escribe en una región de memoria adyacente. En el código de explotación de software, dos áreas comunes que están destinadas a los desbordamientos son la pila y el montón.
CVE-2021-21160: Desbordamiento del búfer de pila en WebAudio.
CVE-2021-21162: Úselo después de forma gratuita en WebRTC. Use after free (UAF) es una vulnerabilidad debido al uso incorrecto de la memoria dinámica durante el funcionamiento de un programa. Si después de liberar una ubicación de memoria, un programa no borra el puntero a esa memoria, un atacante puede usar el error para manipular el programa. WebRTC permite a los programadores agregar capacidades de comunicación en tiempo real a su aplicación.
CVE-2021-21163: Validación de datos insuficiente en modo Lector. Una validación de datos insuficiente podría permitir a un atacante utilizar entradas especialmente diseñadas para manipular un programa.
CVE-2021-21164: Validación de datos insuficiente en Chrome para iOS.
Cuando salgan a la luz más detalles sobre las vulnerabilidades, es posible que se encuentren más exploits en la naturaleza. Depende mucho de qué tan fácil sea abusar de ellos y qué tan grande puede ser el posible impacto. Pero con uno que ya se está utilizando en la naturaleza, es aconsejable actualizarlo ahora.
Como actualizar
La forma más fácil de hacerlo es permitir que Chrome se actualice automáticamente, que básicamente utiliza el mismo método que describí a continuación, pero no requiere su atención. Pero puede terminar rezagado si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.
Por lo tanto, no está de más comprobarlo de vez en cuando. Y ahora sería un buen momento.
Mi método preferido es que Chrome abra la página chrome: // settings / help, que también puede encontrar haciendo clic en Configuración> Acerca de Chrome .
Si hay una actualización disponible, Chrome se lo notificará y comenzará a descargarla. Luego le dirá que todo lo que tiene que hacer para completar la actualización es reiniciar el navegador.
Después de la actualización, su versión debería estar en 89.0.4.4389.72 o posterior
Los vendedores ambulantes de ransomware han dado otro giro tortuoso a la reciente tendencia a la exfiltración de datos. Después de entrevistar a varias víctimas del ransomware Clop, ZDNet descubrió que sus operadores parecen apuntar sistemáticamente a las estaciones de trabajo de los ejecutivos . Después de todo, es más probable que los altos directivos tengan información confidencial en sus máquinas.
Si esta táctica funciona, y podría funcionar, es probable que otras familias de ransomware sigan su ejemplo, tal como han copiado otras tácticas exitosas en el pasado.
¿Qué es el ransomware Clop?
Clop se vio por primera vez en febrero de 2019 como una nueva variante en la familia Cryptomix , pero ha seguido su propio camino de desarrollo desde entonces. En octubre de 2020 se convirtió en el primer ransomware en exigir un rescate de más de 20 millones de dólares. La víctima, la empresa de tecnología alemana Software AG , se negó a pagar. En respuesta, los operadores de Clop publicaron información confidencial que habían recopilado durante el ataque, en un sitio web de la web oscura.
Sitio de filtración de la Dark Web de Clop
Tácticas de imitador
Cuando nos encontramos por primera vez con ransomware de cifrado de archivos, nos quedamos asombrados y horrorizados al mismo tiempo. La simplicidad de la idea, a pesar de que se requirió un poco de habilidad para perfeccionar una rutina de cifrado sólida, fue de un tipo que se reconoce de inmediato como algo duradero.
Desde entonces, el ransomware se ha desarrollado de formas que hemos visto antes en otros tipos de malware, pero también ha introducido algunas técnicas completamente nuevas. La orientación de Clop a los ejecutivos es solo la última en la lista de innovaciones que hemos presenciado en los últimos años.
Echemos un vistazo rápido a algunas de estas innovaciones que van desde trucos técnicos hasta ingeniería social avanzada.
Ataques dirigidos
La mayoría de las familias exitosas de ransomware se han alejado de las tácticas de rociar y orar a ataques más dirigidos. En lugar de intentar cifrar muchos equipos individuales mediante campañas de correo electrónico maliciosas, los atacantes ingresan manualmente a las redes corporativas e intentan paralizar organizaciones enteras.
Un atacante generalmente accede a la red de una víctima utilizando vulnerabilidades conocidas o intentando forzar una contraseña en un puerto RDP abierto . Una vez que hayan ingresado, probablemente intentarán escalar sus privilegios, mapear la red, eliminar copias de seguridad y difundir su ransomware a tantas máquinas como sea posible.
Exfiltración de datos
Una de las adiciones más recientes al arsenal de ransomware es la exfiltración de datos. Durante el proceso de infiltrarse en la red de una víctima y cifrar sus computadoras, algunas bandas de ransomware también exfiltran datos de las máquinas que infectan. Luego amenazan con publicar los datos en un sitio web o subastarlos. Esto les da a los delincuentes una ventaja adicional contra las víctimas que no pagarán, o no necesitarán, para descifrar sus datos.
Te advertí sobre las innovaciones técnicas. Este se destaca entre ellos. Como se menciona en nuestro Informe sobre el estado del malware de 2021 , la banda de ransomware RagnarLocker encontró una nueva forma de cifrar archivos en un punto final mientras evitaba la protección anti-ransomware.
Los operadores del ransomware descargan una imagen de máquina virtual (VM), la cargan silenciosamente y luego lanzan el ransomware dentro, donde el software de protección de endpoints no puede verlo. El ransomware accede a los archivos del sistema host a través de las «carpetas compartidas» de la máquina invitada.
Cifrado de discos duros virtuales
También se menciona en el informe State of Malware 2021 el ransomware RegretLocker que encontró una forma de encriptar discos duros virtuales (VHD). Estos archivos son archivos enormes que contienen el disco duro de una máquina virtual. Si un atacante quisiera encriptar el VHD, soportaría un proceso dolorosamente lento (y cada segundo cuenta cuando intentas que no te atrapen) debido al tamaño de estos archivos.
RegretLocker utiliza un truco para «montar» los discos duros virtuales, de modo que sean tan fácilmente accesibles como un disco duro físico. Una vez hecho esto, el ransomware puede acceder a los archivos dentro del VHD y cifrarlos individualmente, robarlos o eliminarlos. Este es un método de cifrado más rápido que intentar apuntar a todo el archivo VHD.
Frustrar la seguridad y la detección
El ransomware también está mejorando para evitar la detección y deshabilitar el software de seguridad existente. Por ejemplo, el ransomware Clop detiene 663 procesos de Windows (que es una cantidad asombrosa) e intenta deshabilitar o desinstalar varios programas de seguridad, antes de iniciar su rutina de cifrado.
Detener estos procesos libera algunos archivos que de otro modo no podría cifrar, porque estarían bloqueados. También reduce la probabilidad de activar una alerta y puede dificultar la producción de nuevas copias de seguridad.
¿Qué sigue?
Queda por ver si la nueva táctica de Clop será copiada por otras familias de ransomware o cómo podría evolucionar.
Se ha especulado que la táctica de amenazar con filtrar datos extraídos ha reducido las expectativas de algunas víctimas de que pagar el rescate será el fin de sus problemas. Dirigirse específicamente a los datos de los ejecutivos puede ser una forma de corregir esto, aumentando la presión sobre las víctimas.
Clop, o un imitador, también puede intentar usar la información que se encuentra en las máquinas de los gerentes para difundirla a otras organizaciones. Considere, por ejemplo, el método conocido como secuestro de hilos de conversaciones de correo electrónico, que utiliza las conversaciones de correo electrónico existentes (y, por lo tanto, las relaciones de confianza) para propagarse a nuevas víctimas. O la información podría venderse a los actores de amenazas que se especializan en el compromiso del correo electrónico empresarial (BEC) .
El año pasado, los actores de amenazas se aprovecharon de la crisis de salud pública de COVID-19 de una manera que antes se consideraba inimaginable, no solo aprovechando la incertidumbre y el miedo durante los meses iniciales de la pandemia global, sino también modificando los métodos de ataque, incumpliendo las promesas, fortaleciendo el malware, y extorsionar a las víctimas por una suma de $ 100 millones, y eso sin la amenaza del cifrado de ransomware.
En resumen, en 2020 evolucionaron las ciberamenazas.
Hoy, mostramos a los lectores cómo era esa evolución, en nuestro informe State of Malware 2021 . Este informe proporciona nuestro análisis más completo de las tendencias de malware del año pasado, con desgloses por categoría de malware, tipo de malware, sistema operativo, región, industria y más.
Estas son las conclusiones clave de lo que aprendimos en 2020:
Las detecciones de malware en las computadoras comerciales con Windows disminuyeron en un 24% en general, pero las detecciones de HackTools y Spyware en Windows aumentaron drásticamente, en un 147% y un 24%, respectivamente.
Entre las cinco principales amenazas para las empresas y los consumidores se encuentran el cracker de software de Microsoft Office KMS, el malware bancario Dridex y BitCoinMiners; las detecciones de negocios para KMS y Dridex aumentaron en un 2,251% y un 973%, respectivamente
Las detecciones de las amenazas comerciales más notorias, Emotet y Trickbot, cayeron este año en un 89% y 68% respectivamente, aunque los operadores detrás de estas amenazas aún realizaron varios grandes ataques en 2020.
Un nuevo ransomware llamado Egregor entró en escena a finales de 2020, desplegado en ataques contra Ubisoft, K-Mart, Crytek y Barnes & Noble.
En general, las detecciones de Mac disminuyeron un 38%, aunque las detecciones de Mac para empresas aumentaron un 31%
El malware representó solo el 1,5% de todas las detecciones de Mac en 2020; el resto se puede atribuir a programas potencialmente no deseados (PUP) y adware
ThiefQuest engañó a muchos investigadores haciéndoles creer que era el primer ejemplo de ransomware en macOS desde 2017, pero el malware ocultaba su actividad real de exfiltración masiva de datos. Representó más de 20.000 detecciones en 2020
En Android, HiddenAds, que envía anuncios a los usuarios de forma agresiva, acumuló 704.418 detecciones, un aumento de casi el 149%.
Descubrimos dos veces malware preinstalado en teléfonos proporcionados por Assurance Wireless a través del programa Lifeline Assistance, financiado por el gobierno de EE. UU.
Las detecciones de aplicaciones de tipo Stalkerware, que incluyen detecciones de aplicaciones Monitor y aplicaciones Spyware en Android, aumentaron junto con las órdenes de refugio en el lugar que los gobiernos comenzaron a implementar en febrero y marzo: las detecciones de aplicaciones Monitor aumentaron de enero a diciembre en un 565%; Las detecciones de aplicaciones de software espía aumentaron durante el mismo período de tiempo en un 1.055%
La industria agrícola sufrió un aumento del 607% en las detecciones de malware, mientras que las detecciones en la industria de alimentos y bebidas aumentaron en un 67%.
Los objetivos más tradicionales, como manufactura, atención médica y médica, y automotriz, experimentaron caídas en las detecciones en diversos grados: la educación cayó un 17%, la atención médica cayó un 22% y la industria automotriz disminuyó un 18%
Como puede ver en estos hallazgos, 2020 resultó ser un año tumultuoso.
Cuando los casos de COVID-19 comenzaron a aumentar en varios países, los ciberdelincuentes se aprovecharon de los temores de las personas sin piedad, con una avalancha de correos electrónicos de phishing y estafas de coronavirus.
En todo el mundo, los gobiernos intentaron evitar que sus hospitales se vean abrumados ordenando cierres, órdenes de permanencia en el lugar y cierres de escuelas. Para abril de 2020, se había pedido u ordenado a la mitad de la población mundial que se quedara en casa. A medida que empresas enteras cambiaron al trabajo remoto, los equipos de TI se encontraron tratando de convertir proyectos de meses de duración en días, con la seguridad como una víctima desafortunada pero comprensible.
Ante un nuevo panorama, los ciberdelincuentes abandonaron algunas tácticas antiguas y pusieron un nuevo énfasis en la recopilación de inteligencia. Y a medida que la gente se adaptaba a su «nueva normalidad», los estafadores explotaron su aislamiento con un resurgimiento de las estafas de soporte técnico. También surgieron nuevos adversarios de la madera. El cierre global de abril estuvo acompañado por un aumento asombroso en el uso de stalkerware, un término abreviado para el tipo de aplicaciones de monitoreo móvil y software espía que a veces implementan socios abusivos.
La pandemia también creó nuevos desafíos para la privacidad en línea. A medida que los países recurrieron al rastreo de contactos digital para contener los brotes, surgió una dura dicotomía: es posible que las personas tengan privacidad personal o rastreo de contactos efectivo, pero probablemente no ambos. En todo el mundo, el avance de la legislación que preserva la privacidad se ralentizó.
Y lo que comenzó como una crisis de salud mundial pronto se convirtió también en una crisis económica mundial, y casi ningún negocio salió ileso. El destino de diferentes sectores industriales se reflejó en la cantidad de ciberataques que sufrieron. A medida que los sectores manufacturero y automotriz se contrajeron, los atacantes simplemente volvieron sus rostros hacia la agricultura y otras industrias esenciales. Las bandas de ransomware incumplieron sus promesas iniciales de mantenerse alejadas de los hospitales y, en cambio, alcanzaron nuevos mínimos, atacando hospitales e instalaciones médicas en campañas organizadas.
A pesar de todo, hay una forma de negocio que parece haber prosperado en 2020: la creación y operación de software malicioso. El ritmo de la innovación se aceleró en 2020 a medida que surgieron muchas familias de malware completamente nuevas. Las bandas de ransomware también continuaron aprendiendo unas de otras, y las tácticas exitosas se extendieron rápidamente entre ellas. Quizás la nueva táctica más importante que surgió fue la “doble extorsión”, en la que los grupos de ciberdelincuentes extorsionaban más dinero con amenazas de filtrar datos confidenciales que descifrando computadoras comprometidas.
Si 2020 nos enseñó algo, es que el ciberdelito se detiene para nada. No hay objetivos ni oportunidades de explotación que estén más allá de los límites.
Afortunadamente, el año también tuvo otra lección para nosotros: que hay héroes en todas partes. Los profesionales de la salud, los maestros y otros trabajadores esenciales merecen con razón el mayor reconocimiento, pero surgieron héroes en todas las áreas de la vida. Por lo tanto, queremos agradecer enormemente al ejército anónimo de administradores de sistemas y profesionales de la seguridad que trasladaron montañas en 2020 para mantener a millones de personas seguras en línea mientras el mundo que los rodeaba se volvía de cabeza.
Los investigadores de Netlab han descubierto una nueva botnet que reutiliza el marco Mirai para atraer dispositivos Android vulnerables a ataques DDoS .
La nueva botnet, que se llama Matryosh, lleva el nombre de las muñecas de anidación rusas porque el algoritmo de cifrado que utiliza y el proceso de obtención de comando y control (C2) están anidados en capas. La botnet admite ataques DDoS mediante ataques tcpraw, icmpecho y udpplain.
¿Cómo se propaga Matryosh?
Como otras botnets anteriores, Matryosh se propaga a través de Android Debug Bridge (ADB) , una interfaz de diagnóstico y depuración que usa el puerto 5555. Si bien ADB tiene un uso genuino para los desarrolladores, un ADB orientado a Internet también abre el camino para ataques remotos.
Desafortunadamente, algunos proveedores están enviando dispositivos Android con el puerto 5555 abierto. Esto permite a los desarrolladores comunicarse con dispositivos de forma remota para controlar un dispositivo y ejecutar comandos, que generalmente se utilizan con fines de diagnóstico y depuración. Pero también crea una puerta trasera para cualquier otro atacante que se conecte a este puerto.
Puente de depuración de Android
ADB es una herramienta de línea de comandos versátil que le permite comunicarse con un dispositivo Android y facilita una variedad de acciones del dispositivo, como instalar y depurar aplicaciones. También proporciona acceso a un shell que puede usar para ejecutar una variedad de comandos en un dispositivo.
Aunque Android se conoce comúnmente como un sistema operativo popular para teléfonos, también se usa como sistema operativo para cualquier cantidad de «Cosas» conectadas a Internet, como bicicletas estáticas y televisores.
Para completar el desastre potencial, ADB no requiere autenticación, lo que significa que cualquiera puede conectarse a un dispositivo que ejecute ADB para ejecutar comandos. En resumen, con ADB habilitado, cualquiera puede conectarse de forma remota al dispositivo como root.
¿Cómo funciona Matryosh?
Matryosh es especial porque utiliza la red Tor cifrada para enmascarar su tráfico malicioso. Cuando Matryosh se ejecuta en un dispositivo infectado, descifra un nombre de host remoto y utiliza solicitudes TXT de DNS para obtener el servidor Tor C2 y los detalles del proxy. Después de eso, Matryosh usa esos detalles para establecer una conexión con el servidor C2, a través del proxy Tor, para obtener sus comandos.
Para realizar los ataques DDoS, la botnet admite ataques tcpraw, icmpecho y udpplain. Esto significa que puede lanzar ataques DDoS a través de protocolos como TCP, ICMP y UDP.
Cómo deshabilitar ADB
Aunque ADB está desactivado de forma predeterminada en la mayoría de los teléfonos inteligentes y tabletas Android, algunos proveedores envían sus dispositivos con ADB habilitado.
Usuarios de Android: es difícil proporcionar instrucciones claras que funcionen para todos los dispositivos, pero en general, debe deshabilitar las «Opciones de desarrollador» del dispositivo. En el cliente Malwarebytes para Android hay una función de auditoría de seguridad que indica si el modo Desarrollador está habilitado, dónde se encuentra ADB, pero no señala específicamente que ADB está encendido o apagado. Si el modo de desarrollador está habilitado, la auditoría lo señalará y un usuario puede acceder al modo de desarrollador tocando el modo de desarrollo en los resultados de la auditoría, que se mostrarán en amarillo. Cuando el modo de desarrollador está desactivado, ADB también debería estar desactivado.
Auditoría de seguridad de Malwarebytes para Android
Las empresas deben escanear sus redes internas y externas para el puerto 5555 para ver si algún dispositivo está escuchando en ese puerto, lo que podría ser una indicación de que los dispositivos están abiertos para recibir comandos ADB. Tampoco estaría de más leer nuestra entrada de blog. Los ataques DDoS están creciendo: ¿Qué pueden hacer las empresas?
Los proveedores deben dejar de enviar productos con Android Debug Bridge habilitado a través de una red, especialmente aquellos dispositivos que están diseñados para conectarse a Internet
Esta publicación de blog fue escrita por Hasherezade y Jérôme Segura
Emotet ha sido el malware más buscado durante varios años. La gran botnet es responsable de enviar millones de correos electrónicos no deseados con archivos adjuntos maliciosos. El troyano bancario que una vez se convirtió en cargador fue responsable de costosos compromisos debido a su relación con bandas de ransomware.
El 27 de enero, Europol anunció una operación global para acabar con la botnet detrás de lo que llamó el malware más peligroso al obtener el control de su infraestructura y eliminarlo desde adentro.
Poco después, los controladores Emotet comenzaron a entregar una carga útil especial que tenía un código para eliminar el malware de las computadoras infectadas. Esto aún no se había aclarado formalmente y algunos detalles al respecto no estaban del todo claros. En este blog revisaremos esta actualización y cómo debe funcionar.
Descubrimiento
Poco después de la eliminación de Emotet, un investigador observó una nueva carga útil enviada a las máquinas infectadas con un código para eliminar el malware en una fecha específica.
Ese bot actualizado contenía una rutina de limpieza responsable de desinstalar Emotet después de la fecha límite del 25 de abril de 2021 . El informe original mencionaba el 25 de marzo, pero como los meses se cuentan desde 0 y no desde 1, el tercer mes es en realidad abril.
El 26 de enero de 2021 o alrededor de esa fecha, aprovechando su acceso a los servidores de Nivel 2 y Nivel 3, los agentes de un socio de cumplimiento de la ley extranjero de confianza, con quien el FBI está colaborando, reemplazaron el malware Emotet en servidores ubicados físicamente en su jurisdicción con un archivo creado por cumplimiento de la ley
BleepingComputer menciona que el socio extranjero encargado de hacer cumplir la ley es la Policía Criminal Federal de Alemania (Bundeskriminalamt o BKA).
Además de la rutina de limpieza, que describimos en la siguiente sección, este «archivo de aplicación de la ley» contiene una ruta de ejecución alternativa que se sigue si la misma muestra se ejecuta antes de la fecha indicada.
El desinstalador
La carga útil es una DLL de 32 bits. Tiene un nombre que se explica por sí mismo (EmotetLoader.dll) y 3 exportaciones que conducen a la misma función.
Si miramos dentro de esta función exportada, podemos ver 3 subrutinas:
El primero se encarga de la limpieza antes mencionada. En el interior, podemos encontrar el control de fecha:
Si la fecha límite ya pasó, la rutina de desinstalación se llama inmediatamente. De lo contrario, el hilo se ejecuta repetidamente haciendo la misma verificación de tiempo y, finalmente, llamando al código de eliminación si la fecha ha pasado.
La hora actual se compara con la fecha límite en un bucle. El ciclo sale solo si se supera la fecha límite y luego continúa con la rutina de desinstalación.
La rutina de desinstalación en sí es muy simple. Elimina el servicio asociado con Emotet, elimina la clave de ejecución, intenta (pero falla) mover el archivo a% temp% y luego sale del proceso.
Dentro de la función: «uninstall_emotet»
Como sabemos al observar el Emotet regular, logra la persistencia de dos formas alternativas.
Ejecutar clave
Microsoft \ CurrentVersion \ Run
Este tipo de instalación no requiere elevación. En tal caso, la DLL de Emotet se copia en %APPDATA%\[random dir name]\[random DLL name].[random extention].
Servicio del sistema
HKLM \ System \ CurrentControlSet \ Service \ <nombre aleatorio de emotet>
Si la muestra se ejecutó con privilegios de administrador, se instala como un servicio del sistema. Se copia la DLL original en C:\Windows\SysWow64\[random dir name]\[random DLL name].[random extention].
Por esta razón, la función de limpieza debe tener en cuenta ambos escenarios.
Notamos que los desarrolladores cometieron un error en el código que se supone debe mover el archivo de aplicación de la ley al directorio% temp%:
GetTempFileNameW (Buffer, L "UPD", 0, TempFileName)
El «0» debería haber sido un «1» porque según la documentación , si uUnique no es cero, debe crear el archivo usted mismo. Solo se crea un nombre de archivo, porque GetTempFileName no puede garantizar que el nombre de archivo sea único .
La intención era generar una ruta temporal, pero debido a que se usó un valor incorrecto en el parámetro uUnique, no solo se generó la ruta, sino que también se creó el archivo. Eso llevó a una mayor colisión de nombres y, como resultado, el archivo no se movió.
Sin embargo, esto no cambia el hecho de que el malware ha sido neutralizado y es inofensivo, ya que no se ejecutará ya que se eliminaron sus mecanismos de persistencia.
Si la rutina de eliminación antes mencionada se llamó inmediatamente, las otras dos funciones de la exportación inicial no se están ejecutando (el proceso termina al final de la rutina, llamando ExitProcess). Pero esto ocurre solo si la muestra se ha realizado después del 25 de abril.
La ruta de ejecución alternativa
Ahora echemos un vistazo a lo que sucede en el escenario alternativo cuando no se llama inmediatamente a la rutina de desinstalación.
Una vez que se ejecuta el hilo en espera, la ejecución llega a otras dos funciones. El primero enumera los procesos en ejecución y busca el proceso padre del actual.
Luego verifica el nombre del proceso si es «explorer.exe» o «services.exe», seguido de los parámetros de lectura que se le dan al padre.
Ejecutando la siguiente etapa
La siguiente rutina descifra y carga una carga útil de segunda etapa desde el búfer codificado.
El búfer codificado se descifra con el bucle anterior y luego se ejecuta
Redirección del flujo al búfer descifrado (a través de » call edi«):
Después de descifrar la carga útil, la ejecución se redirige al comienzo del búfer revelado que comienza con un salto:
Este salto conduce a una rutina de cargador reflectante. Después de asignar la DLL a un formato virtual, en el área recién asignada en la memoria, el cargador redirige la ejecución allí.
Primero, DllMainse llama al de X.dll (se usa solo para la inicialización). Luego, la ejecución se redirige a una de las funciones exportadas, en el caso actualmente analizado Control_RunDll.
La ejecución continúa con el segundo dll (X.dll). Las funciones dentro de este módulo están ofuscadas.
La carga útil que se llama ahora es muy similar a la carga útil normal de Emotet. Analógico DLL, y también nombrado X.dll tales como: esta uno se pudo encontrar en muestras Emotet anteriores (sin la rutina de limpieza), por ejemplo en esta muestra .
La carga útil de la segunda etapa: X.dll
La carga útil de la segunda etapa X.dll es una DLL de Emotet típica, cargada en caso de que la fecha límite codificada no haya pasado todavía.
Esta DLL está muy ofuscada y todas las API utilizadas se cargan dinámicamente. Además, sus parámetros no son legibles: se calculan dinámicamente antes de su uso, a veces con la ayuda de una larga cadena de operaciones que involucran muchas variables:
Este tipo de ofuscación es típico de las cargas útiles de Emotet y está diseñado para confundir a los investigadores. Sin embargo, gracias al rastreo pudimos reconstruir qué API se llaman con qué compensaciones.
La carga útil tiene dos rutas alternativas de ejecución. Primero verifica si ya estaba instalado. De lo contrario, sigue la primera ruta de ejecución y procede a instalarse. Genera un nombre de instalación aleatorio y se mueve a sí mismo bajo este nombre a un directorio específico, al mismo tiempo que agrega persistencia. Luego, vuelve a ejecutarse desde la nueva ubicación.
La muestra actual envía una solicitud a uno de los servidores sumideros. Contenido:
L "DNT: 0 \ r \ nReferer: 80.158.3.161/i8funy5rv04bwu1a/\r\nContent-Type: multipart / form-data; límite = ------------------- -GgmgQLhRJIOZRUuEhSKo \ r \ n "
La siguiente imagen muestra el tráfico web de un sistema infectado a través de un documento malicioso que descarga el archivo de actualización especial y vuelve al servidor de comando y control propiedad de la policía:
Motivos detrás del desinstalador
La versión con el desinstalador ahora se envía a través de canales destinados a distribuir el Emotet original. Aunque actualmente la rutina de eliminación aún no se llamará, la infraestructura detrás de Emotet ya está controlada por la policía, por lo que los bots no pueden realizar su acción maliciosa.
Para las víctimas con una infección Emotet existente, la nueva versión vendrá como una actualización, reemplazando a la anterior. Así será como conocerá sus rutas de instalación y podrá limpiarse una vez transcurrido el plazo.
Insertar código a través de una botnet, incluso con buenas intenciones, siempre ha sido un tema espinoso, principalmente debido a las ramificaciones legales que implican tales acciones. La declaración jurada del Departamento de Justicia señala cómo los «agentes de la ley extranjeros, no agentes del FBI, reemplazaron el malware Emotet, que se almacena en un servidor ubicado en el extranjero, con el archivo creado por la policía».
El retraso prolongado para que se active la rutina de limpieza puede explicarse por la necesidad de dar tiempo a los administradores del sistema para realizar análisis forenses y verificar otras infecciones.
TikTok, la plataforma de redes sociales ahora ampliamente popular que permite a los usuarios crear, compartir y descubrir clips cortos de aficionados, generalmente algo similar a videos musicales, ha experimentado un crecimiento explosivo desde su aparición en 2017. Desde entonces, no ha parado creciendo, más aún durante la pandemia actual . Aunque las últimas estadísticas continúan mostrando que en los EE. UU. El grupo de edad más grande ( 32.5 por ciento , al momento de escribir este artículo) son los usuarios de entre 10 y 19 años, los usuarios mayores (de 25 a 34 años) en países como China, Indonesia, Malasia, Arabia Saudita y los Emiratos Árabes Unidos están superando rápidamente a sus homólogos más jóvenes .
Basta decir que ya no podemos clasificar a TikTok como una «aplicación para niños».
Esto, por supuesto, refuerza aún más las muchas preocupaciones que los padres ya tienen sobre la aplicación. Ni siquiera estamos hablando de las posibilidades de que los niños pequeños, los preadolescentes y los adolescentes vean desafíos y tendencias peligrosos , o que los preadolescentes hagan sincronizaciones de labios con canciones que hagan que los ojos de los adultos se agranden o vean contenido generalmente inapropiado. Estamos hablando de depredadores potenciales que se hacen amigos de su hijo, acosadores cibernéticos que son capaces de seguir a niños específicos de una plataforma de redes sociales a otra, y un flujo de contenido sin restricciones de usuarios que ni siquiera siguen, o que ni siquiera son amigos.
Limitaciones y barandillas
Eric Han, jefe de seguridad de TikTok en los EE. UU., Anunció la semana pasada que todas las cuentas registradas de usuarios de 13 a 15 años se han configurado como privadas. Esto significa que las personas que quieran seguir esas cuentas deben ser aprobadas previamente antes de que puedan ver los videos de un usuario. Es una forma de que TikTok les brinde a los preadolescentes la oportunidad de tomar decisiones informadas sobre a quién dan la bienvenida en su cuenta.
Además, TikTok implementará más cambios y ajustes, como:
Limitaciones a los comentarios de videos . Los usuarios dentro de este grupo de edad podrán decidir si quieren que sus amigos, o nadie, comenten. Actualmente, cualquiera puede comentar, de forma predeterminada.
Limitaciones de disponibilidad de Duet y Stitch. En septiembre del año pasado, TikTok presentó dos herramientas de edición: D u et y Stitch . Estos estaban disponibles solo para usuarios de 16 años o más. TikTok también limitó el uso de videoclips solo a amigos, entre usuarios de 16 a 17 años.
Limitaciones a las descargas de videos. Los usuarios de 16 años o más solo pueden descargar contenido dentro de la aplicación de TikTok. Esta función está desactivada de forma predeterminada para los usuarios de 16 a 17 años, pero tienen la opción de activarla.
Limitaciones de las cuentas sugeridas. Los usuarios menores de 16 años no pueden sugerir su cuenta de TikTok a otros.
Limitaciones a la mensajería directa y la transmisión en vivo. Los usuarios menores de 16 años no pueden realizar transmisiones en vivo y nadie puede enviar mensajes de forma privada.
Limitaciones en los regalos virtuales. Solo los usuarios mayores de 18 años pueden comprar, enviar y recibir regalos virtuales.
Dolores de crecimiento
Esta no es la primera vez que TikTok intenta demostrar que se toman en serio la realización e implementación de tales cambios en beneficio de su base de usuarios. Aquí hay un resumen del crecimiento y los desafíos de seguridad y privacidad de la plataforma de redes sociales de hace un par de años.
Después de llegar a un acuerdo de $ 5.7 millones de dólares con la Comisión Federal de Comercio (FTC) en 2019, por violar la Ley de Protección de la Privacidad Infantil en Línea al no buscar el consentimiento de los padres para los usuarios menores de 13 años, TikTok se había propuesto eliminar los perfiles de los usuarios que están dentro de este grupo de edad.
TikTok introdujo la vinculación de cuentas para padres y / o tutores en abril de 2019. Llamados Family Pairing , los adultos responsables ahora están equipados para conectar sus cuentas de TikTok con las de sus adolescentes, lo que les permite modificar de forma remota la configuración de sus cuentas.
En diciembre de 2019, TikTok se asoció con el Family Online Safety Institute (FOSI) para organizar seminarios de seguridad en Internet. Su objetivo era «ayudar a los padres a comprender mejor las herramientas y los controles que tienen para navegar en el entorno digital y los recursos que ofrece FOSI a través de su iniciativa Good Digital Parenting».
En enero de 2020, TikTok actualizó sus pautas de la comunidad para aclarar cómo modera el contenido dañino o inseguro. Dijo que quería «mantener un ambiente acogedor y de apoyo», de modo que «los usuarios se sientan cómodos expresándose abiertamente».
En febrero de 2020, la compañía se asoció con creadores de contenido populares en los EE . UU . Para crear videos que recuerden a los usuarios que, esencialmente, dejen de desplazar el teléfono y tomen un descanso, al estilo de TikTok. Esto es parte de su iniciativa «Usted tiene el control», una serie de videos centrados en el usuario que intenta informar a los usuarios sobre las «características de seguridad y mejores prácticas» de TikTok.
Al mismo tiempo, TikTok también estaba tratando de frenar la desinformación en línea (que es desenfrenada en las plataformas de redes sociales), trabajando con organizaciones de verificación de datos y de alfabetización mediática de terceros, como el Instituto Poynter.
¿Son suficientes los cambios de TikTok?
Las herramientas proporcionadas por plataformas de redes sociales como TikTok pueden ser útiles y útiles. Sin embargo, estas empresas solo pueden hacer mucho por sus usuarios. Los padres y / o tutores nunca deben esperar que la red social favorita de sus hijos haga todo el trabajo pesado cuando se trata de mantener seguros a los usuarios jóvenes. Más que nada, los adultos deberían participar más en la vida digital de sus hijos. No solo como observador, sino siendo un participante activo de una forma u otra.
No hay sustituto para educarse sobre las redes sociales. Analice los pros y los contras de usarlo y luego eduque a sus hijos al respecto.
Dígales que está bien decir «no», que no sigan a la manada, que aunque algo pueda parecer divertido y genial, que se detengan y piensen en ello antes de reaccionar (o hacer).
Todo empieza en casa. Elegir seguridad y privacidad no es diferente. Eres su primera línea de defensa, no esa configuración predeterminada. Entonces, tomemos ese manto y seamos uno.
WhatsApp ha estado en las noticias recientemente después de que los cambios en su política de privacidad provocaron un aumento del interés en la aplicación de mensajería rival Signal. Los informes iniciales pueden haber preocupado a mucha gente, lo que llevó a aclaraciones y correcciones inevitables. Pero, se preguntarán, ¿qué sucedió realmente? ¿Hay algún problema? ¿Estás en riesgo? ¿O debería seguir usando sus aplicaciones como lo hacía anteriormente?
Preparando la escena
Los usuarios de WhatsApp se encontraron frente a una notificación en la aplicación la semana pasada, informándoles de los próximos cambios en la política de privacidad. El mensaje decía:
Al tocar Aceptar, acepta los nuevos términos, que entrarán en vigor el 8 de febrero de 2021. Después de esta fecha, deberá aceptar los nuevos términos para seguir usando WhatsApp. También puede visitar el Centro de ayuda si prefiere eliminar su cuenta.
En general, sospecho algo cada vez que una aplicación confiable comienza a mostrar mensajes o cualquier otra cosa que no esperaba. Después del estallido inicial de «¿Es esto genuino?», Sigue la parte en la que trato de desenterrar las partes que han cambiado y ver cómo se compara con lo que sucedió antes.
Qué funcionó …
Darles a los usuarios un poco de tiempo para ver los próximos cambios y determinar si quieren ser parte de ellos, es bueno y debe ser alentado. A menudo, los cambios en la política de privacidad y el EULA surgen de la nada, dando poco o ningún tiempo para digerirlos. Independientemente de cómo se desarrolló todo lo demás sobre esta notificación, se debe aplaudir a WhatsApp por darles a todos una advertencia.
… y lo que no
El foco principal de preocupación en torno a la actualización fue cómo se compartirían los datos en el futuro. Los aspectos a los que las personas se opusieron incluyeron algunos datos que permanecen en un dispositivo incluso después de eliminar una cuenta, líneas sobre “respetar la privacidad” que se eliminan de la política de privacidad y cosas como números de teléfono que se comparten con Facebook.
Esto, naturalmente, sería motivo de preocupación para algunas personas.
El reparador de mensajes
Esta situación no fue ideal para WhatsApp, que tuvo que aclarar los mensajes mixtos que se difundían en línea. Destacaron que la próxima actualización está relacionada con los negocios de mensajería en WhatsApp . Los mensajes aún están sujetos a la misma privacidad que antes, y ni WhatsApp ni Facebook pueden leer sus mensajes ni escuchar sus llamadas.
Además, se tuvieron que hacer más aclaraciones de que los cambios no se aplican a las regiones de la UE / EEE / Reino Unido a pesar de que a las personas en esas áreas se les muestra una ventana emergente de política de privacidad diferente. Esto no es ideal y tiende a generar confusión. Lo que sucede después de eso es que aparecen muchos artículos que explican qué hacer si desea cambiar a otros servicios . [ Actualizado el 19 de enero : artículo modificado para aclarar qué políticas se mostraban ya quién].
Los escritores han descrito esta posible migración fuera de WhatsApp como «autoinfligida», y ese parece ser un resumen preciso. Simplemente al tener que explicar las diferencias entre las formas de mensajería, la recopilación de datos se pone de relieve. Es decir, es posible que antes no supiera cuánto … o poco … recopilan sus aplicaciones favoritas.
Pero ahora lo haces . El genio de la recopilación de datos está fuera de la botella y, sin embargo, puede que no importe demasiado.
Decisiones decisiones
Las personas usarán lo que les resulte más cómodo. Este paso en falso no va a matar a WhatsApp, y si aún quieres usarlo, no te preocupes. No irá a ninguna parte. Como con todas las cosas, las elecciones informadas son las mejores opciones. Regularmente les recordamos a las personas que es hora de una limpieza de contraseña de seguridad cada vez que se produce una infracción importante.
En una nota similar, este puede ser un buen momento para repasar todos los términos y condiciones vinculados a sus aplicaciones favoritas. Analice lo que hacen, qué datos recopilan y utilizan. Como mínimo, asegúrese de que sus mensajes sean lo más seguros posible y de que solo usted y los destinatarios puedan leerlos (busque “cifrado de extremo a extremo”). Algunas personas están bien con la recopilación de datos, para otras es un factor decisivo.
En última instancia, la decisión depende de usted.
Malwarebytes recibió recientemente un informe sobre una nueva oleada de campañas de estafa de sextorsión de Bitcoin que están circulando.
Las estafas de sextorsión de Bitcoin tienden a enviarte correos electrónicos para decirte que te grabaron en tu cámara web realizando actos sexuales en privado y te piden que les pagues una cantidad en Bitcoin para mantener el video (que no existe) en privado. Este tipo de chantaje se ha vuelto bastante popular desde mediados de 2018.
Los estafadores de sextorsión con frecuencia usan direcciones de correo electrónico falsificadas o inventadas para comunicarse con sus objetivos. Las campañas anteriores se han dirigido a aquellos con contraseñas de cuentas comprometidas extraídas de violaciones de terceros , menores y otros grupos vulnerables. En este caso, nuestros expertos creen que estos correos electrónicos han estado dirigidos a direcciones de correo electrónico .org y a altos directivos casi exclusivamente.
De: {nombre del remitente falsificado}
Asunto: tengo el control total de su dispositivo
Cuerpo del mensaje:
Hola
¿Notaste que te envié un correo electrónico desde tu dirección? Sí, eso significa que tengo el control total de su dispositivo. Sé que miras contenido de adultos [sic] con adolescentes menores de edad con frecuencia. Mi software espía grabó un video de usted masturbándose. También tuve acceso a tu libreta de direcciones. Me complace compartir estos videos interesantes con su lista de direcciones y contactos de redes sociales. Para evitar que esto suceda, debe enviarme 1000 (USD) en bitcoins.
Billetera Bitcoin, parte 1: 1C1FfgyNsJGJZfuR2ePXxTraa
Billetera Bitcoin parte 2: CqE6WLWSM
Combine la parte 1 y la parte 2 sin espacio entre ellas para obtener la billetera bitcoin completa.
¡Consejo rapido! Puedes adquirir bitcoins de Paxful. Usa Google para encontrarlo. Una vez que reciba la compensación (Sí, considérala una compensación), eliminaré los videos de inmediato y nunca más volverás a saber de mí. Tienes tres días para enviar el importe. Recibiré una notificación una vez que se abra este correo electrónico y comenzará la cuenta regresiva.
Lo que podemos percibir como un correo electrónico de chantaje de una moneda de diez centavos por docena, puede ser algo nuevo para alguien, especialmente para aquellos que no están al tanto de tal farsa. No se equivoque: las estafas por correo electrónico que contienen poca o ninguna amenaza hacia los destinatarios han funcionado repetidamente como un encanto.
Por eso es importante mantenerse al día con lo que está sucediendo en ciberseguridad, cómo las amenazas en línea afectan aspectos de nuestras vidas y cómo podemos protegernos mejor a nosotros mismos, a nuestros datos y a las personas que nos rodean de aquellos que asustan, amenazan y engañan a su manera. en nuestras billeteras. Trate todos los correos electrónicos como este con una buena cantidad de escepticismo y debería poder ver realmente el correo electrónico como realmente es: falso.
Malwarebytes ha escrito extensamente sobre las estafas de sextorsión de Bitcoin a lo largo de los años. Y lo que aconsejamos entonces sigue siendo relevante para estas nuevas estafas de sextorsión.
Cambie sus contraseñas o, mejor aún, considere usar un administrador de contraseñas que lo ayude a crear y almacenar contraseñas más complicadas.
Utilice siempre la autenticación multifactor (MFA) para agregar un paso adicional de seguridad. La mayoría de las empresas con presencia en línea tienen esto, así que aprovéchelo al máximo.
No pague al estafador.
Si recibió un correo electrónico de sextorsión en el trabajo, avísele a su departamento de TI. Si se encuentra en los Estados Unidos, no dude en informarlo al IC3 del FBI .
Nuestro director de Mac y dispositivos móviles, Thomas Reed, había redactado una publicación dirigida a los usuarios de Mac que han recibido correos electrónicos fraudulentos, pero necesitan orientación sobre lo que deben hacer.
Google corrigió un error en su herramienta de comentarios que un atacante podría aprovechar para robar capturas de pantalla de documentos confidenciales de Google Docs. (Fuente: The Hacker News)
Sección 230 : La ley de redes sociales que está obstruyendo las conversaciones de estímulo. (Fuente: CNet)
Apple ha perdido su batalla por los derechos de autor contra la startup de virtualización de iOS Corellium . (Fuente: TechSpot)
Microsoft confirmó que los presuntos piratas informáticos rusos detrás de la violación de seguridad de SolarWinds también vieron parte del código fuente de la compañía. (Fuente: CNN)
Más de 100,000 firewalls Zyxel , puertas de enlace VPN y controladores de puntos de acceso contienen una cuenta de puerta trasera codificada a nivel de administrador que puede otorgar a los atacantes acceso de root a los dispositivos conectados. (Fuente: ZDNet)
Un agente de violación de datos está vendiendo registros de usuarios supuestamente robados para 26 empresas en un foro de piratas informáticos. (Fuente: BleepingComputer)
Los piratas informáticos han transmitido en vivo redadas policiales en hogares inocentes después de secuestrar los dispositivos domésticos inteligentes de sus víctimas y hacer una llamada falsa a las autoridades. (Fuente: BBC News)
El Departamento de Seguridad Nacional de EE. UU. (DHS) ha publicado una guía sobre los riesgos que corren las empresas si utilizan tecnología creada en China . (Fuente: The Register)
