El 18 de julio, un grupo de 17 periódicos y organizaciones de medios, con la ayuda del Laboratorio de seguridad de Amnistía Internacional y el grupo de investigación Citizen Lab, reveló que una de las herramientas de software espía más avanzadas y brutalmente invasivas del mundo se había utilizado para piratear o intentar piratear, en 37 teléfonos móviles propiedad de activistas de derechos humanos, periodistas, disidentes políticos y ejecutivos de empresas.

El software espía, llamado Pegasus y desarrollado por la empresa israelí NSO Group, es fundamental para las campañas de vigilancia opresiva de varios gobiernos contra sus propios ciudadanos y residentes y, aunque NSO Group ha negado repetidamente las acusaciones de que vende Pegasus de manera cómplice a violadores de derechos humanos, Es difícil conciliar exactamente cómo el programa de software espía sin hacer clic, que roba de forma no consensuada e invisible correos electrónicos, mensajes de texto, fotos, videos, ubicaciones, contraseñas y actividad en las redes sociales, es al mismo tiempo una herramienta que puede, en su propio uso, respetar los derechos de las personas de todo el mundo a hablar libremente, asociarse de forma segura y vivir en privado.

Pegasus es software espía y el software espía no está diseñado para respetar la privacidad. Lo erosiona.

Lo que puede ser más molesto sobre los informes explosivos del domingo es que la comunidad de ciberseguridad ha sabido sobre Pegasus durante años. Los proveedores de antivirus lo detectan. Los laboratorios forenses digitales saben cómo detectarlo. Y entre 2016 y 2018, se encontró que más de 1,000 direcciones IP estaban asociadas con él .

Con herramientas como Pegasus de las que se puede abusar a escala mundial, asumimos un riesgo demasiado grande. Cuando los gobiernos autoritarios la utilizan como arma, la vigilancia enfría la libertad de expresión, ahuyenta a la disidencia y roba a un público inocente una vida que no ha sido vista, por ningún delito cometido más que decir la verdad al poder, realizar investigaciones de salud pública o simplemente amar a otra persona.

Permite abusos como el hackeo de teléfonos móviles de Hatice Cengiz , ex prometida del columnista asesinado del Washington Post, Jamal Khoshoggi. Después de que el mundo se enteró de que su teléfono fue pirateado, ella escribió :

“Estoy profundamente conmocionado de que me hayan atacado mientras tenía tanto dolor esperando saber qué le había sucedido a Jamal. Este fue el peor momento de mi vida y, sin embargo, los asesinos me espiaban. No tienen vergüenza. Deben ser llevados ante la justicia «.

Pegaso en teoría

Según NSO Group, su principal programa de software espía es una herramienta beneficiosa para investigar y prevenir ataques terroristas y mantener la seguridad del público. Respondiendo a las preguntas del grupo de 17 organizaciones de medios, que publicaron sus hallazgos bajo el nombre » El Proyecto Pegasus «, el Grupo NSO dijo:

«En pocas palabras, NSO Group está en una misión para salvar vidas, y la compañía ejecutará fielmente esta misión sin inmutarse, a pesar de todos y cada uno de los intentos continuos de desacreditarlo por motivos falsos».

Después de que The Pegasus Project publicara sus hallazgos iniciales el domingo, el director ejecutivo de NSO Group, Shalev Hulio, habló con The Washington Post sobre las preocupaciones que tenía sobre cómo se ha utilizado el software de su empresa contra periodistas y activistas de derechos humanos.

“La empresa se preocupa por los periodistas y activistas y la sociedad civil en general”, dijo Hulio. «Entendemos que, en algunas circunstancias, nuestros clientes pueden hacer un mal uso del sistema y, en algunos casos, como informamos en el Informe de transparencia y responsabilidad de [NSO], hemos cerrado los sistemas para los clientes que han hecho un mal uso del sistema».

Hulio le dijo a The Washington Post que su compañía había rescindido los contratos de dos clientes debido a acusaciones de abusos a los derechos humanos, pero, según el periódico, se negó a revelar qué cuentas estaban cerradas.

Sin embargo, las explicaciones de NSO Group son solo la mitad de la historia porque, al informar sobre las revelaciones del domingo, el Proyecto Pegasus también preguntó a los gobiernos potencialmente responsables por qué usaron Pegasus para piratear los teléfonos móviles de disidentes y reporteros. Los gobiernos en cuestión negaron haber usado Pegasus en absoluto, como dijo el ministro de Asuntos Exteriores de Ruanda, o afirmaron que cualquier vigilancia llevada a cabo por sus gobiernos era legal, como lo hizo la oficina del primer ministro húngaro, Viktor Orban.

Del mismo modo, el gobierno de la India rechazó cualquier acusación de haber utilizado indebidamente a Pegasus para realizar actividades de vigilancia. Cualquier interceptación de mensajes, dijo el gobierno, se aprueba en varios niveles del gobierno de acuerdo con varias leyes.

“En la India, existe un procedimiento bien establecido mediante el cual se lleva a cabo la interceptación legal de las comunicaciones electrónicas con el fin de la seguridad nacional, en particular en caso de que ocurra una emergencia pública o en interés de la seguridad pública, por parte de las agencias del Centro. y Estados ”, dijo el gobierno . «Las solicitudes para esta interceptación legal de comunicaciones electrónicas se realizan de acuerdo con las reglas pertinentes de acuerdo con las disposiciones de la sección 5 (2) de la Ley de Telégrafos de la India de 1885 y la sección 69 de la Ley de Tecnología de la Información (Enmienda) de 2000»

Las historias gemelas que cuentan NSO Group y sus clientes, entonces, es que Pegasus es una herramienta necesaria para mantener la seguridad, y que el uso de Pegasus es legal dentro del propio régimen de vigilancia de un país.

NSO Group también ha dicho que su herramienta es cada vez más necesaria en una era en la que el cifrado de extremo a extremo está ampliamente disponible para los delincuentes.

“Las organizaciones terroristas, los cárteles de la droga, los traficantes de personas, las redes de pedófilos y otros sindicatos delictivos explotan hoy en día las capacidades de cifrado listas para usar que ofrecen las aplicaciones de comunicaciones y mensajería móvil”, dijo NSO Group a The Pegasus Project. “Estas tecnologías proporcionan a los delincuentes y sus redes un refugio seguro, lo que les permite ‘oscurecerse’ y evitar la detección, comunicándose a través de impenetrables sistemas de mensajería móvil. Las agencias estatales de aplicación de la ley y de lucha contra el terrorismo de todo el mundo han luchado por mantenerse al día «.

Esta tendencia puede ser cierta: el cifrado de extremo a extremo está más disponible hoy que nunca, ofrecido en varias aplicaciones de consumo en dispositivos Android e iOS, aunque también es exagerado. Como ha escrito anteriormente Malwarebytes Labs, el problema de «oscurecerse» a menudo se exagera , y la solución a ese problema, para hacer «puertas traseras seguras», también es tecnológicamente imposible.

Sin embargo, es importante destacar que si Pegasus fuera en realidad una herramienta crítica para detener el crimen, podría probarse. Sin embargo, en la práctica, el Proyecto Pegasus descubrió que los objetivos de Pegasus no son «organizaciones terroristas, cárteles de la droga, traficantes de personas, redes de pedófilos» u «otros sindicatos criminales», sino más bien reporteros, científicos, parejas románticas y potencialmente jefes de estado

Pegaso en la práctica

El domingo y los días siguientes, The Pegasus Project reveló el amplio elenco de víctimas que cree que han sido atacadas con el software espía Pegasus.

En sus informes, The Pegasus Project se basó en una lista de 50.000 números de teléfono obtenidos por Forbidden Stories, una organización periodística francesa sin fines de lucro . Los reporteros creen que los 50.000 números de teléfono son una lista de números de teléfono que han sido atacados con el software espía Pegasus. La lista también incluye marcas de tiempo para cada entrada de número de teléfono, que los reporteros creen que muestra cuándo un teléfono fue potencialmente atacado por primera vez por un operador de Pegasus.

En la investigación, los reporteros contactaron a decenas de personas a las que pertenecían los números de teléfono enumerados, y finalmente obtuvieron 67 dispositivos móviles que creían que habían sido atacados por el software espía.

Los 67 dispositivos fueron analizados por primera vez por el Laboratorio de Seguridad de Amnistía Internacional, que buscó rastros de software espía Pegasus y mensajes de texto maliciosos que, si se hacía clic, se sabía que explotaban las vulnerabilidades de día cero del dispositivo para instalar el software espía Pegasus y piratear teléfonos. El trabajo de Amnistía Internacional fue verificado por separado por Citizen Lab, una institución de investigación de la Universidad de Toronto que se centra en la tecnología y los derechos humanos.

En la investigación, The Pegasus Project encontró indicios de que el software espía Pegasus había intentado o exitosamente hackear 37 dispositivos. Los 30 dispositivos restantes produjeron resultados no concluyentes.

La lista de números de teléfono, que NSO Group negó es una lista de objetivos de Pegasus, incluía 14 políticos, incluidos tres presidentes, 10 primeros ministros (tres actuales y siete ex) y un rey .

Los tres presidentes son el francés Emmanuel Macron, el iraquí Barham Salih y el sudafricano Cyril Ramaphosa. Ninguno de los jefes de estado ofreció sus dispositivos móviles al Proyecto Pegasus, por lo que es imposible saber si los dispositivos habían sido pirateados o habían recibido mensajes de texto maliciosos que pudieran resultar en un pirateo.

El posible uso de Pegasus contra presidentes, primeros ministros y princesas es solo eso: Posible. Pero recuerde que The Pegasus Project encontró evidencia de piratería o intento de piratería en 37 de los 67 dispositivos móviles que probó.

De los hechos denunciados hasta ahora, el uso de Pegasus contra esas personas no tiene ninguna marca de trabajo antiterrorista, pro seguridad o contrainteligencia.

Por ejemplo, ¿por qué se usó Pegasus para piratear el teléfono de la reportera Khadija Ismayilova , cuyo trabajo de investigación ha revelado corrupción dentro de la familia gobernante de Azerbaiyán?

¿Por qué Pegasus fue implantado silenciosamente en el iPhone 11 de Claude Magnin , residente de París y esposa del activista político Naama Asfari, quien fue encarcelado y presuntamente torturado en Marruecos?

¿Por qué se usó Pegasus para piratear los teléfonos de la esposa y prometida separada del columnista del Washington Post y crítico del gobierno de Arabia Saudita Jamal Khoshoggi, quien, según la Administración Biden, fue asesinado y desmembrado con la aprobación del Príncipe Heredero de Arabia Saudita?

¿Y por qué un operador de Pegasus envió mensajes de texto maliciosos a un científico y dos directores de organizaciones sin fines de lucro que apoyaron activamente un impuesto banal a los refrescos en México ? O ¿por qué un operador de Pegasus enviar mensajes de texto de manera similar a periodista mexicano Rafael Cabrera que, si se hace clic, podría haber informa, dio lugar a una infección Pegasus de su iPhone 6?

Este no es un trabajo de seguridad. Esto es vigilancia.

Una industria peligrosa

Pegasus no es nuevo. La compañía detrás de ella se lanzó en 2010 y, según los informes, ganó su primer cliente en el extranjero solo un año después. Durante años, Citizen Lab ha estado rastreando la propagación de Pegasus, buscando clientes gubernamentales y rastreando dispositivos móviles que fueron pirateados por el software espía. En 2016, las investigaciones del grupo ayudaron a impulsar las actualizaciones de MacOS para corregir vulnerabilidades graves que podrían haber sido explotadas por Pegasus. En 2018, Citizen Lab también identificó 45 países que potencialmente dependían de Pegasus para realizar la vigilancia.

Más recientemente, las actividades de NSO Group se volcaron en las noticias estadounidenses cuando Facebook culpó a la compañía israelí por explotar una vulnerabilidad en WhatsApp en 2019. WhatsApp, propiedad de Facebook, demandó más tarde a NSO Group por supuestamente usar esta vulnerabilidad para permitir a los usuarios de Pegasus piratear 1.400 dispositivos. La demanda aún está en curso y ha obtenido el apoyo de Microsoft, Google, Cisco y VMWare .

Conocemos estos problemas desde hace años. Ya no podemos hacer la vista gorda ante este tipo de abuso. Hace dos años, un grupo de proveedores de ciberseguridad, activistas de derechos digitales y redes de apoyo a la violencia doméstica se unieron para lanzar Coalition Against Stalkerware , reconociendo la necesidad interdisciplinaria de proteger a los usuarios de la amenaza de la vigilancia de la pareja íntima.

Esperamos que hoy se pueda capturar la misma energía.

Después de conocer los hallazgos del Proyecto Pegasus, el ex contratista de defensa de la NSA y denunciante de vigilancia Edward Snowden advirtió que el software espía no es un problema menor. Está, dijo, en todas partes y hay que detenerlo .

“Cuando miro esto, lo que ha revelado el Proyecto Pegasus es un sector donde el único producto son los vectores de infección, ¿verdad? No lo hacen, no son productos de seguridad ”, dijo Snowden. “No brindan ningún tipo de protección, ningún tipo de profiláctico”.

“No fabrican vacunas. Lo único que venden es el virus ”.

En noviembre, el gigante de los juegos Capcom sufrió un ataque de ransomware . En su notificación de prensa, mencionó los diversos tipos de datos potencialmente capturados por sus atacantes. Las cosas tomaron un giro siniestro cuando se negaron a pagar el rescate, y el grupo detrás del ataque dijo que fue un movimiento equivocado. Capcom tuvo la oportunidad de «salvar los datos de fugas»; no lo tomaron. Efectivamente, poco después se filtró una colección completa de archivos.

La amenaza de caída de datos de grupos de ransomware despreciados es ahora una táctica de extorsión común. Lo que no podríamos haber predicho aquí es una de las ramificaciones de dicha caída. Es hora de adelantar las cosas hasta junio de 2021 y una fecha con una demanda. ¿El giro? La demanda no está dirigida a los autores del ransomware, sino a la empresa comprometida.

De caídas de datos y recopilaciones de investigación

Solía ​​trabajar en el desarrollo de juegos / películas y sus alrededores hace mucho tiempo. Teníamos un presupuesto increíblemente bajo e hicimos cosas con un presupuesto muy bajo. Una fuente de ayuda invaluable en ese momento fueron las guías de recursos y las colecciones. Esencialmente: grandes libros llenos de trabajo recopilado por artistas visuales, compositores, diseñadores, quien sea. Si tenía suerte, el libro venía con un CD cargado con material del libro. ¿Aún más afortunado? Puede utilizar los contenidos para su propio trabajo de forma gratuita. Si el proyecto fuera comercial, normalmente pagaría una tarifa de licencia de algún tipo.

También hubo empresas que seleccionaron contenido de varios artistas y se aseguraron de que todas las licencias detrás de escena fueran herméticas. Donde esto a menudo salía mal era si el disco se alejaba del libro.

Las organizaciones terminarían con discos tirados en escritorios, sin nadie seguro de la fuente / quién había pagado por la licencia. Si alguien copiaba el contenido del disco, terminaría con CD autograbados tirados por el lugar que parecían ser creaciones internas. Debe tener mucho cuidado con los materiales de recursos.

Si se pregunta cómo se relaciona esto con el ataque de ransomware, estoy a punto de completar los espacios en blanco.

La consecuencia involuntaria de una fuga de datos

Un artista en este caso busca $ 12 millones en daños de Capcom , alegando que Capcom usó sus imágenes de un libro de recursos / CD en varios de sus títulos de videojuegos. Todo esto se debe a la filtración de datos del ataque de ransomware. Al menos una de las imágenes de los archivos robados y filtrados comparte el mismo nombre de archivo que lo que parece ser una imagen idéntica del CD-ROM del libro.

El documento de Juracek Vs Capcom se puede ver aquí , junto con múltiples ejemplos de imágenes que podrían llegar a los juegos. Lamentablemente, no entra en detalles en la parte más fascinante … si el artista se dio cuenta o no como resultado de la violación de datos y la posterior filtración. La mayoría de los informes simplemente dicen que el artista está utilizando la violación como parte de su evidencia. También está la cuestión de cómo se dieron cuenta de las imágenes en el basurero en primer lugar.

Si tuviera que adivinar, los fanáticos increíblemente informados vieron las imágenes de alta resolución, se preguntaron de dónde venían y quizás se pusieron en contacto con el creador. Esto no es algo inusual que suceda. A mediados de los 90, busqué al compositor de música para una serie de juegos AAA en foros de mensajes en japonés, con el fin de decirles lo genial que es su música. Es mucho más fácil hacer cosas como esta en estos días, que pueden ser una bendición o una maldición, o quizás un poco de ambas.

Independientemente de cómo lo apile, promete ser un día fascinante en la corte. Esta historia también plantea algunos otros problemas.

Convertir lo negativo en positivo

Algunos grupos de ransomware han intentado mezclarlo un poco en el ámbito de las relaciones públicas. Se presentan como renegados al estilo Robin Hood, robando a los ricos para dar a los pobres … o, más específicamente, dando a organizaciones benéficas . Una táctica interesante, excepto que las organizaciones benéficas se enfrentan a todo tipo de problemas si están dotadas de ganancias ilícitas. Como se mencionó en otra parte , existe la posibilidad de que el enfoque de «estamos siendo útiles, honestos» sea simplemente una artimaña para mantener la pretensión de respetabilidad. Aquí, sin embargo, nos encontramos con un pequeño problema.

El artista en cuestión ha presentado lo que considera una denuncia válida y, como resultado, está teniendo su día en la corte. ¿Ser capaz de vincular nombres de archivos específicos de su CD-ROM a archivos con nombre en las carpetas de Capcom de la parte posterior del truco? Eso probablemente refuerza bastante su caso.

En pocas palabras, estos autores de ransomware … y cualquier otra persona, para el caso … ahora pueden señalar esta historia como evidencia de que, de hecho, «ayudaron» a alguien de manera indirecta.

Nuevas fronteras en el mundo del ransomware

Las consecuencias del ataque podrían dar lugar a una nueva táctica de ransomware. No es exagerado pensar que los infractores buscarán violaciones de derechos de autor / relacionadas. Después de todo, algunos grupos de ransomware ya han mostrado interés en cómo pueden convertir en armas los datos que han robado, más allá de simplemente filtrarlos.

Con tantas formas de vincular los materiales encontrados con la fuente original en línea, es posible que vean esto como una ganancia fácil de relaciones públicas. Además de todos los otros problemas con el ransomware, probablemente no necesitemos que sus autores griten “¡Mira! ¡Estamos ayudando! » cada vez que aparece una nueva fuga. Cuando un creador tiene potencialmente $ 12 millones de su bolsillo, se vuelve cada vez más complicado argumentar en su contra.

Claro, esta es todavía potencialmente otra forma para las personas que realmente no se preocupan por ayudar a las personas a actuar como si lo hicieran. Pero si el resultado final es el mismo y alguien se beneficia, realmente no importa mucho. En lo que respecta a los autores de ransomware, tendrán una colección de personas que les dirán a todos lo geniales que son.

Es de esperar que no terminemos librando una guerra de relaciones públicas además de la batalla técnica que ya se está librando en las redes en todas partes. No estoy seguro de estar de acuerdo en que “cualquier publicidad es buena publicidad”, pero la buena publicidad ciertamente lo es. Entonces, en caso de que alguien se sienta tentado a ofrecer a los operadores de ransomware el beneficio de la duda, no olvidemos que son las mismas bandas del crimen organizado que piensan poco en atacar hospitales .

Tras un devastador ciberataque al Colonial Pipeline, la Administración de Seguridad del Transporte, que forma parte del Departamento de Seguridad Nacional del gobierno, emitirá su primera directiva de ciberseguridad para las empresas de oleoductos en los Estados Unidos, según un informe exclusivo de The Washington Post .

Se espera que las directivas lleguen dentro de la semana y requerirán que las empresas de oleoductos en los EE. UU. Informen sobre cualquier ciberataque que sufran a la TSA y a la Agencia de Seguridad e Infraestructura de Ciberseguridad. Dichos ataques serán informados por «funcionarios cibernéticos» recientemente designados que serán nombrados por cada empresa de oleoductos, quienes deberán tener acceso 24 horas al día, 7 días a la semana a las agencias gubernamentales, informó The Washington Post. Las empresas que se nieguen a cumplir con las directivas se enfrentarán a sanciones.

Las regulaciones representan un cambio radical en la forma en que la TSA ha protegido la seguridad de los oleoductos en el país durante más de una década. Aunque la agencia gubernamental ha tenido durante 20 años la tarea de proteger la seguridad de los vuelos en el país, las nuevas directivas de seguridad cibernética caen dentro del ámbito de la agencia luego de una reestructuración gubernamental después de los ataques del 11 de septiembre de 2001. Más de una década después de los ataques, la agencia se basó en la colaboración voluntaria con empresas privadas de oleoductos para la protección de la ciberseguridad, ofreciendo en ocasiones realizar revisiones externas de las redes y protocolos de una empresa. A veces, informó el Washington Post, esas ofertas fueron rechazadas.

Pero después de que el grupo de ransomware Darkside atacara al proveedor de petróleo y gas de la costa este Colonial Pipeline, lo que provocó un cierre de 11 días y escasez de gas en el este de EE . UU. , Parece que el gobierno federal ya no está satisfecho con la ciberseguridad rezagada de la industria privada. protecciones. El presidente Joe Biden ya ha firmado una Orden Ejecutiva para imponer nuevas restricciones a las empresas de software que venden sus productos al gobierno federal. Según se informa, esas reglas se refinaron después del ataque Colonial Pipeline y se espera que se conviertan en una norma de la industria a medida que más empresas de tecnología compitan por incluir al gobierno como un cliente importante.

Las nuevas reglas de la TSA para las empresas de oleoductos caen en la misma tendencia.

Al hablar con The Washington Post, la portavoz del Departamento de Seguridad Nacional, Sarah Peck, dijo:

“La administración Biden está tomando más medidas para asegurar mejor la infraestructura crítica de nuestra nación. La TSA, en estrecha colaboración con [la Agencia de Seguridad de Infraestructura y Ciberseguridad], se está coordinando con las empresas del sector de tuberías para garantizar que están tomando todas las medidas necesarias para aumentar su resistencia a las amenazas cibernéticas y proteger sus sistemas «.

Aunque se espera la primera directiva de la TSA esta semana, las directivas de seguimiento podrían llegar más tarde. Se informa que esas directivas incluyen reglas más detalladas sobre cómo las empresas de oleoductos protegen sus propias redes y computadoras contra un posible ciberataque, junto con una guía sobre cómo responder a los ciberataques después de que hayan ocurrido. Además, las empresas de oleoductos se verán obligadas a evaluar su propia ciberseguridad frente a un conjunto de estándares de la industria. Estas directivas, como la que se espera esta semana, también serán obligatorias, pero una guía voluntaria esperada de la TSA será si una empresa de oleoductos debe realmente solucionar cualquier problema que encuentre en una evaluación de ciberseguridad requerida.

Las nuevas reglas llevarán a la industria de gasoductos privados a un pequeño grupo de sectores regulados de la infraestructura estadounidense, incluidas las redes de energía eléctrica a granel y las plantas nucleares. Estos sectores son los valores atípicos en la infraestructura de EE. UU., Ya que la mayoría de los componentes, incluidas las presas de agua y las plantas de aguas residuales, no tienen protecciones obligatorias de ciberseguridad.

Quedan varios obstáculos para que las reglas de la TSA sean efectivas, incluida la escasez de personal en la propia agencia. Según The Washington Post, la división de seguridad de oleoductos de la TSA tenía solo un miembro del personal en 2014 y, según el testimonio de 2019, ese número había aumentado a solo cinco. Para aliviar el problema, se espera que el Departamento de Seguridad Nacional contrate 16 empleados más en TSA y 100 empleados más en CISA.

ACTUALIZACIÓN 10:47 a. M. Hora del Pacífico, 10 de mayo: a las 8:55 a. M., Hora del Pacífico, el FBI confirmó que Colonial Pipeline fue atacado por Darkside . Según una declaración publicada en Twitter, el FBI dijo:

“El FBI confirma que el ransomware Darkside es responsable del compromiso de las redes Colonial Pipeline. Seguimos trabajando con la empresa y nuestros socios gubernamentales en la investigación «.

 

 

La protección sin firma de Malwarebytes detecta todas las variantes conocidas de DarkSide.

Historia original a continuación:

El ransomware causó grandes problemas la semana pasada, ya que el famoso Colonial Pipeline fue víctima de un ciberataque devastador .

Presentando: el Oleoducto Colonial

El oleoducto existe para suministrar gasolina y otros productos en el sur y este de Estados Unidos. Estamos hablando desde Texas hasta Nueva Jersey. El oleoducto es el más grande de su tipo en los EE. UU. Y, según se informa, transporta casi la mitad del combustible consumido por la costa este.

Este es un volumen increíble de oferta y demanda, y cualquier cosa que salga mal podría ser desastrosa. Hay suficiente de qué preocuparse con accidentes más generales , sin la amenaza de que las personas entren maliciosamente en los sistemas.

Ahí es donde estamos ahora.

¿Qué sucedió?

El ransomware paralizó todo el viernes. Según quienes realizaron el análisis del ataque, es probable que los culpables sean un grupo conocido como DarkSide. Este es un grupo que saltó a la fama en 2020, a través de dudosas donaciones a organizaciones benéficas . Con todo ese ángulo de Robin Hood, robaron a las corporaciones y entregaron el dinero en efectivo a causas que sentían que lo merecían.

Bueno, lo intentaron.

Cuando la ayuda resulta ser un estorbo

Da la casualidad de que las organizaciones benéficas no quieren que un montón de dinero robado circule en sus cuentas bancarias. Los administradores de organizaciones benéficas pueden meterse en todo tipo de problemas. No solo organizaciones benéficas; cualquier organización podría terminar en una secuencia desconcertante de travesuras de lavado de dinero si no se tiene cuidado.

También hubo sospechas de que el acto del “Buen Samaritano” era una forma de encubrir el hecho de que todavía son delincuentes, robando dinero. El grupo detrás de estos ataques parecía haber captado el mensaje. La campaña de caridad de Robin Hood desapareció y nos preguntamos cuál sería el seguimiento del grupo criminal.

Si los investigadores están en lo cierto, esto es varios órdenes de magnitud más serio de lo que la gente podría haber imaginado.

 Poderes de emergencia y bloqueo

El gobierno de EE. UU. Declaró una emergencia y otorgó poderes de emergencia para garantizar que las personas aún reciban combustible. Esos poderes de emergencia permiten más flexibilidad para que los conductores transporten productos derivados del petróleo a varios lugares. Desde el texto:

La FMCSA está emitiendo una exención temporal de horas de servicio que se aplica a quienes transportan gasolina, diesel, combustible para aviones y otros productos refinados del petróleo a Alabama, Arkansas, Distrito de Columbia, Delaware, Florida, Georgia, Kentucky, Luisiana, Maryland, Mississippi, Nueva Jersey. , Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tennessee, Texas y Virginia.

El impacto digital a físico del ataque Colonial Pipeline

Las consecuencias de este ataque en el mundo real son claras y se extienden en varias direcciones. Existen los riesgos inmediatos de transportar combustible a lo largo de 5.500 millas y de que las personas no tengan suministros. También tenemos un peligro potencial en las carreteras, ya que aumenta el uso de las carreteras y los conductores tienen que afrontar horas de conducción potencialmente más largas. Precios del combustible? Aquellos parecen haber aumentado , aunque parece que el suministro debería reducirse durante unos días para que cause un impacto significativo. 

Finalmente, está el problema del cierre en sí. ¿Cuántos sistemas están comprometidos? ¿Cuál es el daño? ¿Pueden garantizar que desaparezcan todos los rastros de infección?

Si resulta ser DarkSide, seguramente destruirá todo su ángulo de Robin Hood. Y, si se debe creer en un mensaje reciente a través de DarkTracer (el mensaje no ha sido verificado por Malwarebytes), entonces el grupo no está fingiendo esta vez: «Nuestro objetivo es ganar dinero».

Si este atacante es DarkSide, claramente no ayuda a quienes lo necesitan a eliminar sus reservas de combustible.

Vienen por sus criptomonedas … tal vez

2021 ya se perfila como un año máximo para el ransomware. Las bandas de ransomware ahora tienen años de experiencia y creación de herramientas para aprovechar, efectivo en el banco y un auge de las criptomonedas del que sacar provecho. Es difícil imaginar que se mantenga el statu quo y parece inevitable que los gobiernos respondan enérgicamente.

Antes del ataque, el Departamento de Justicia de EE. UU. Ya anunció una revisión de 120 días de su enfoque para combatir las ciberamenazas , que incluirá un análisis de cómo las criptomonedas permiten el ciberdelito. Esto se hace eco de las preocupaciones planteadas en un plan estratégico reciente para abordar el ransomware , llevado a cabo por el Grupo de trabajo sobre ransomware. Entre muchas recomendaciones, el grupo de trabajo pidió que el ransomware sea tratado como una amenaza a la seguridad nacional y una mayor regulación del sector de las criptomonedas. Un curso de colisión parece inevitable en algún momento, y ya es un tema de conversación importante para los expertos en este campo.

Sin embargo, eso es para el futuro. Por ahora, nos quedamos con las líneas de suministro tambaleándose. Unos pocos megabytes de código, tal vez un correo electrónico perdido con un archivo adjunto dudoso, o tal vez incluso una vulnerabilidad del servidor que alguien no logró parchear a tiempo.

Pequeños problemas, enormes consecuencias.

Nos dijo recientemente deepfakes “siguen siendo el arma de elección para las campañas de interferencia maligna, granjas trol, la venganza, la pornografía y celebridades a veces humorísticos cara swaps”. El escepticismo de que estas técnicas funcionarían a gran escala, como una elección, permanece. En el ámbito de la interferencia maligna y las payasadas a menor escala , sin embargo, los deepfakes continúan forjando nuevos caminos.

Una cosa es pretender ser agentes de la ley anónimos en el otro extremo de una llamada web, sin una participación falsa. Otra muy distinta es fingir profundamente al ayudante de un líder de la oposición rusa encarcelado.

Zoom en territorio deepfake

Recientemente, varios grupos de parlamentarios fueron engañados para que pensaran que estaban hablando con Leonid Volkov, un político ruso y jefe de gabinete de la campaña electoral presidencial de 2018 de Alexei Navalny. En cambio, a los parlamentarios holandeses y estonios en diferentes reuniones se les presentó una entidad completamente ficticia forjada en los incendios deepfake . Al observar los diversos informes sobre estos incidentes, no estamos del todo seguros de si Leonid falso respondió a las preguntas o se apegó a un guión escrito previamente. Tampoco sabemos si los culpables fingieron su voz o empalmaron fragmentos reales para formar oraciones. Según este informe , parece que la llamada de Zoom fue conversacional, pero los detalles son escasos. Lo más probable es que el objetivo del juego sea que los parlamentarios digan que quieren apoyar a la oposición rusa con mucho dinero. 

¿Cómo pasó esto?

Parece que no se siguieron las prácticas básicas de seguridad. Nadie verificó de antemano que fuera él. No se hizo ping a su correo electrónico, nadie dijo «Hola …» en las redes sociales. Esto es bastante increíble, teniendo en cuenta que las personas que hacen un Pregúntame cualquier cosa en Reddit mostrarán una nota de «Hola Reddit, soy yo» como mínimo. Con un procedimiento de seguridad tan inexistente en su lugar, seguramente se producirá un desastre.

Uno se pregunta, dada la ausencia de contacto con la Leonid real, cuán falsa Leonid había organizado las sesiones de Zoom en primer lugar. ¿ Alguien puede concertar una llamada con una sala de diputados si afirman ser otra persona? ¿Se realizan reuniones en línea con regularidad sin ningún esfuerzo para garantizar que todos los involucrados sean legítimos? Todo esto parece un poco peculiar y un poco preocupante.

Bloqueo de deepfakes: a largo plazo

Fuera del ámbito de las llamadas Zoom sin verificación con parlamentarios, se están llevando a cabo más movimientos para detectar deepfakes. SONY ha entrado en un campo de batalla ya poblado por herramientas de bricolaje e investigadores que intentan luchar contra la falsificación en línea. En otros lugares, tenemos mapas generados por IA . Si bien esto suena aterrador, no es algo por lo que debamos entrar en pánico todavía .

Los deepfakes continúan incrustándose más en la conciencia pública, lo que solo puede ayudar a crear conciencia sobre el tema. ¿Quieres algo de ficción para jóvenes adultos sobre deepfakes? ¡Seguro que sí ! ¿Actores que ayudan a popularizar el concepto de video falso como algo esperado? Absolutamente . Dondequiera que mires… ahí está.

Ruido de bajo nivel y desorientación silenciosa

Por ahora, las campañas de interferencia maligna y las travesuras a pequeña escala están a la orden del día. Nunca ha sido más importante tomar algunas medidas para verificar a sus conversadores basados ​​en la web. Ya sea un deepfake generado por IA o alguien con una peluca realmente convincente y una voz falsa, los políticos deben implementar algunas rutinas de verificación básicas.

La verdadera preocupación aquí es que si cayeron en esto, quién sabe qué más se les escapó por correo electrónico, redes sociales o incluso llamadas telefónicas antiguas. Tenemos que esperar que los sistemas de verificación que existan para los métodos alternativos de comunicación entre los políticos sean significativamente mejores que los anteriores.

Muchos de los que leemos las noticias a diario nos encontramos con un ritmo de tambor regular de historias de ransomware que son a la vez preocupantes y desgarradoras. Y lo que muchos de nosotros no nos damos cuenta es que a menudo están interconectados. Algunas de las pandillas detrás de las campañas de ransomware sobre las que leímos han establecido una relación entre ellas que puede describirse como «estar aliadas entre sí», pero carecen de ciertos elementos que puedan cimentar su estatus como un verdadero cartel en lo digital. mundo subterráneo.

Este es el hallazgo general de Jon DiMaggio, conocido luminaria de ciberseguridad y estratega jefe de seguridad de Analyst1, una empresa de inteligencia de amenazas.

En un documento técnico titulado «Ransom Mafia – Análisis del primer cártel de ransomware del mundo» , DiMaggio y su equipo tenían como objetivo proporcionar una evaluación analítica sobre si realmente existe un cártel de ransomware, o si hay indicios de que era algo que las bandas de ransomware fabricaron. distraer a los investigadores y las fuerzas del orden.

Los lazos que unen

Analyst1 ha identificado dos fuertes conexiones entre los grupos afiliados mencionados en su informe que establece cómo trabajan juntos como algo así como un cartel. Ellos son:

Sitios de fuga de datos compartidos

Las pandillas dentro del cartel comparten información sobre las empresas que han atacado, así como todos los datos que han extraído. En un ejemplo, los investigadores vieron a Twisted Spider publicando datos de víctimas recopilados por la pandilla Lockbit y Viking Spider. Esto se suma a que estas bandas publican datos de la empresa en sus respectivos sitios de filtración.

Infraestructura compartida

SunCrypt se encontró utilizando direcciones IP e infraestructura de comando y control vinculada a Twisted Spider para entregar la carga útil de ransomware en sus campañas. Esto se observó 10 meses después de que Twisted Spider los usara en sus operaciones. Este tipo de intercambio de recursos solo puede ocurrir si ya se ha establecido una relación de confianza.

Analyst1 también ha identificado otros vínculos circunstanciales y técnicos entre los grupos que, por sí solos, no son medidas suficientes para una atribución precisa.

Otros hallazgos dignos de mención

La investigación incluye varios otros hallazgos dignos de mención:

• Los datos de las víctimas no son lo único que estas bandas afiliadas se transmiten entre sí. También se les observó compartir tácticas, como la creciente proliferación y persistencia de su malware en la naturaleza al hacer que un paquete de Ransomware-as-a-Service (RaaS) esté disponible para otros delincuentes e infraestructura de comando y control (C&C) .
• Las bandas afiliadas parecen estar en movimiento para automatizar sus ataques, en evidencia de las capacidades automatizadas adicionales que se encuentran en las cargas útiles de ransomware. La infección manual de las empresas comprometidas es un sello conocido de los actores de amenazas de ransomware de caza mayor (BGH).
• Algunos de los grupos involucrados se han abierto a entrevistas con los medios en el pasado. También emiten sus propios comunicados de prensa desde sus propios sitios web y utilizan múltiples medios para acosar a las víctimas para que paguen.
• Las pandillas afiliadas han afirmado ser parte de un cartel en algún momento del pasado. Aunque algunos de ellos ya han negado sus conexiones, la evidencia contradice esto.

¿Quién está en el cartel?

Analyst1 agrupó las bandas de ransomware afiliadas bajo la etiqueta «Ransom Cartel». Sin embargo, tenga en cuenta que este colectivo se había nombrado a sí mismo el «Cartel del Laberinto» el mismo año en que se estableció su relación de cooperación.

El Cartel del rescate surgió en mayo de 2020. Se dice que Twisted Spider, la banda detrás del ransomware Maze y otros, es el grupo que inició su creación. Su principal motivación fue la ganancia económica.

La mayoría de estos grupos tienen su sede en Europa del Este y hablan principalmente ruso, un atributo que no ocultan en absoluto. Algunos de estos grupos han desarrollado malware que no es ransomware; sin embargo, todos los grupos se aseguraron de que ninguno de ellos afectara a los usuarios en Rusia y en la Comunidad de Estados Independientes (CEI) .

A continuación se muestra una breve descripción general de los grupos individuales que se dice que componen el Cartel de rescate (tenga en cuenta que no todos buscan un nombre oficial. Como tal, se nombran según la variante de ransomware que utilizan):

Araña retorcida

Otros alias: Maze Team, FIN6

Malware: ransomware Maze (anteriormente conocido como ChaCha), ransomware Egregor , gusano Qakbot, otros kits de explotación de productos básicos

Detecciones de Malwarebytes: Ransom.Maze , Ransom.Sekhmet , Worm.Qakbot , respectivamente

Pandilla LockBit

Otro (s) alias: ninguno

Software malicioso: ransomware LockBit, registrador de teclas Hakops

Detección de Malwarebytes: Ransom.LockBit , Trojan.Keylogger , respectivamente

Araña mago

Otros alias: Grim Spider (aclamado como un subconjunto de Wizard Spider), UNC1878, TEMP.MixMaster

Software malicioso: troyano TrickBot , ransomware Ryuk , ransomware Conti, ransomware MegaCortex, puerta trasera BazarLoader

Detección de Malwarebytes: Trojan.TrickBot , Ransom.Ryuk , Ransom.Conti , Ransom.MegaCortex , Trojan.Bazar , respectivamente

Araña vikinga

Otro (s) alias: Grupo Ragnar

Software malicioso: ransomware de casilleros Ragnar

Detección de Malwarebytes: Ransom.Ragnar

Pandilla SunCrypt

Otro (s) alias : ninguno

Software malicioso: ransomware SunCrypt

Detección de Malwarebytes: Ransom.SunCrypt

«¿Qué cartel?»

Aunque de hecho existe confianza y se comparten recursos y tácticas, entre estas bandas de ransomware, Analyst1 ha evaluado que el Cartel de ransomware no es un verdadero cartel. Su informe concluye que la cooperación de la que fue testigo carecía de algunos de los elementos necesarios para alcanzar el nivel de un cartel, sobre todo la participación en los beneficios.

El problema de la ciberseguridad del sector de la educación se ha agravado en los últimos meses. Una advertencia reciente del FBI, a mediados de marzo, notificó a las escuelas de los EE. UU. Y el Reino Unido sobre un aumento de los ataques de los actores de amenazas detrás del ransomware PYSA.

Si es la primera vez que oye hablar de esta familia, siga leyendo.

¿Qué es el ransomware PYSA?

El ransomware PYSA es una variante del ransomware Mespinoza.

PYSA, que significa “Protect Your System Amigo”, fue nombrada por primera vez en documentos de código abierto en diciembre de 2019, dos meses después de que Mespinoza fuera descubierto en estado salvaje . Mespinoza usó originalmente la .lockedextensión en archivos cifrados y luego pasó a usar .pysa. Debido a esto, muchos usan los nombres PYSA y Mespinoza indistintamente.

PYSA, como muchas familias de ransomware conocidas, se clasifica como una herramienta de ransomware como servicio (RaaS) . Esto significa que sus desarrolladores han alquilado este ransomware listo para usar a organizaciones criminales, que pueden no ser lo suficientemente hábiles técnicamente para producir el suyo propio. Los clientes de PYSA pueden personalizarlo en función de las opciones proporcionadas por los grupos RaaS e implementarlo a su gusto. PYSA es capaz de extraer datos de sus víctimas antes de cifrar los archivos que se van a rescatar.

Según Intel 471, una empresa de inteligencia de amenazas, PYSA / Mespinoza es un operador de RaaS de nivel 2, ya que ha ido ganando reputación en el mundo subterráneo. Los operadores o equipos que hacen esto tienen una página, llamada «lista de filtraciones», donde nombran y avergüenzan a las víctimas que deciden no pagar el rescate. Las víctimas se enumeran con un archivo adjunto que contiene archivos que los actores de la amenaza extrajeron de ellos.

El ransomware PYSA tiene al menos tres vectores de infección conocidos: ataques de fuerza bruta contra consolas de administración y cuentas de Active Directory (AD) , correos electrónicos de phishing y conexiones no autorizadas de Protocolo de escritorio remoto ( RDP ) a controladores de dominio. Una vez dentro de una red, los actores de amenazas se toman su tiempo para escanear archivos usando Advanced Port Scanner y Advanced IP Scanner, ambos son software gratuito y se mueven lateralmente dentro de la red usando PsExec .

Luego, los actores de amenazas ejecutan manualmente el ransomware dentro de la red después de filtrar todos los datos que necesitan para aprovechar. Los archivos se cifran mediante AES implementado con claves cifradas RSA.

¿Quién ha sido atacado por PYSA?

Se sabe que PYSA se dirige a grandes organizaciones privadas y a aquellas que pertenecen a la industria de la salud. También han afectado a grupos gubernamentales en varios continentes. Recientemente, PYSA se ha utilizado cada vez más contra instituciones educativas en los EE. UU. Y el Reino Unido.

A continuación se muestra una lista no exhaustiva de incidentes relacionados con PYSA:

• En marzo de 2020, CERT Francia emitió una advertencia a los gobiernos locales franceses sobre el aumento de los ataques de PYSA.
• En mayo de 2020, MyBudget, la empresa de administración de dinero de Australia, experimentó una “interrupción” que duró 13 días (del 9 al 22 de mayo). Las filtraciones de datos extraídos llegaron al blog de PYSA. Posteriormente, la compañía confirmó a iTWire el 29 de mayo que la larga interrupción fue causada por un ataque de ransomware. Sin embargo, al mes siguiente, las fuentes notaron que el nombre y los archivos de MyBudget fueron eliminados del blog de PYSA, lo que llevó a algunos a especular que pudo haber pagado el rescate, a pesar de las garantías de que «no tenía intención de comprometerse con las demandas de rescate».
• En octubre de 2020, un “ciberataque grave” afectó al Hackney Council de Londres en el Reino Unido, dejándolo incapaz de procesar los pagos de las prestaciones de vivienda y provocando la caída de las compras de viviendas. Aunque al principio no hablaron de todo el incidente, se supo que los actores de la amenaza del ransomware PYSA estaban detrás del ataque después de filtrar los datos que extrajeron de la compañía en enero de 2021.

¿Malwarebytes detecta PYSA ransomware?

Estamos seguros de hacer. Detectamos es como Ransom.Mespinoza .

Indicadores de compromiso (IOC)

Hash SHA256:

• 7fd3000a3afbf077589c300f90b59864ec1fb716feba8e288ed87291c8fdf7c3
• e9662b468135f758a9487a1be50159ef57f3050b753de2915763b4ed78839ead
• a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
• 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
• e4287e9708a73ce6a9b7a3e7c72462b01f7cc3c595d972cf2984185ac1a3a4a8
• 327934c4c11ba37f42a91e1b7b956d5a4511f918e63047a8c4aa081fd39de6d9
• f0939ebfda6b30a330a00c57497038a54da359e316e0d6e6e71871fd50fec16a
• 48355bd2a57d92e017bdada911a4b31aa7225c0b12231c9cbda6717616abaea3
• 0f0014669bc10a7d87472cafc05301c66516857607b920ddeb3039f4cb8f0a50
• 61bb42fe06b3511d512af33ef59baa295b29bd62eb4d0bf28639c7910a65e4ae
• 425945a93beb160f101d51de36363d1e7ebc45279987c3eaf5e7f183ed0a3776
• a18c85399cd1ec3f1ec85cd66ff2e97a0dcf7ccb17ecf697a5376da8eda4d327
• 5510ae74b7e2a10fdafa577dc278612f7796b0252b7d1438615e26c49e1fc560
• 1a0ff707938a1399e23af000567806a87fff9b8789ae43badb4d28d4bef1fb81
• b1381635c936e8de92cfa26938c80a359904c1d709ef11ee286ba875cfb7b330

Archivo de nota de rescate, Readme.README, que incluye el siguiente contenido:

Hola compañia

Cada byte de cualquier tipo de dispositivo se cifró.
No intente utilizar copias de seguridad porque también están cifradas.

Para recuperar todos sus datos, comuníquese con nosotros:
{2 @ protonmail.com direcciones de correo electrónico}

————–

PREGUNTAS MÁS FRECUENTES:

1.

P: ¿Cómo puedo asegurarme de que no me engañas?

R: Puede enviarnos 2 archivos (máximo 2 MB).

2.

P: ¿Qué hacer para recuperar todos los datos?

R: No reinicie la computadora, no mueva archivos y escríbanos.

3.

P: ¿Qué decirle a mi jefe?

R: Protege tu sistema Amigo.

El 16 de marzo, la Oficina Federal de Investigaciones (FBI) emitió una alerta «Flash» sobre el ransomware PYSA después de un aumento en los ataques de este mes contra instituciones en el sector educativo, particularmente educación superior, K-12 y seminarios. Según la alerta [PDF], el Reino Unido y 12 estados de EE. UU. Ya se han visto afectados por esta familia de ransomware.

PYSA, también conocida como Mespinoza, se vio por primera vez en estado salvaje en octubre de 2019, donde se usó inicialmente contra grandes redes corporativas.

CERT Francia emitió una alerta hace un año sobre PYSA ampliando su alcance para incluir organizaciones gubernamentales francesas y otros gobiernos e instituciones fuera de Francia. PYSA fue categorizado como uno de los cazadores de caza mayor, uniéndose a las filas de Ryuk , Maze y Sodinokibi (REvil) . Los ataques de ransomware de «gran juego» se dirigen a organizaciones enteras, y los actores de amenazas operan su ransomware manualmente, después de pasar tiempo ingresando a las redes de una organización y realizando reconocimientos.

PYSA / Mespinoza puede llegar a las redes de las víctimas a través de campañas de phishing o mediante la fuerza bruta de las credenciales del Protocolo de escritorio remoto (RDP) para obtener acceso.

Antes de descargar y detonar la carga útil del ransomware, también se descubrió que los actores de amenazas detrás de este ransomware realizaban un reconocimiento de red utilizando herramientas de código abierto como Advanced Port Scanner y Advanced IP Scanner. También instalan otras herramientas similares, como Mimikatz, Koadic y PowerShell Empire (por nombrar algunas), para escalar privilegios y moverse lateralmente.

Los actores de la amenaza desactivan la protección de seguridad en la red, filtran archivos y cargan los datos robados en Mega.nz, un servicio de almacenamiento y uso compartido de archivos en la nube. Después de esto, PYSA se implementa y ejecuta. Todos los archivos cifrados en Windows y Linux, las dos plataformas a las que se dirige principalmente este ransomware, tendrán el .pysasufijo.

El informe del FBI también revela una posible táctica de doble extorsión que podría ocurrir contra las víctimas: “En incidentes anteriores, los ciber actores exfiltraron registros de empleo que contenían información de identificación personal (PII), información de impuestos sobre la nómina y otros datos que podrían usarse para extorsionar a las
víctimas para pagar un rescate «.

En los últimos seis meses, el FBI y otras organizaciones encargadas de hacer cumplir la ley han estado advirtiendo al sector educativo sobre una mayor actividad de amenazas contra ellos. Y esto no se limita solo a los ataques de ransomware. También entran en juego las campañas de phishing y la typosquatting de dominios .

La alerta «Flash» del FBI incluye estas mitigaciones recomendadas para objetivos potenciales.

Para prevenir ataques:

• Instale actualizaciones de seguridad para sistemas operativos, software y firmware tan pronto como se publiquen.
• Utilice la autenticación multifactor siempre que sea posible.
• Evite reutilizar contraseñas para diferentes cuentas e implemente el plazo más corto aceptable para los cambios de contraseña.
• Desactive los puertos RDP no utilizados y supervise el acceso remoto / registros RDP.
• Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso con los privilegios más bajos que pueda.
• Utilice software antivirus y antimalware actualizado en todos los hosts.
• Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas. Considere instalar y usar una VPN.
• Considere agregar un banner de correo electrónico a los mensajes que provengan de fuera de su organización.
• Deshabilite los hipervínculos en los correos electrónicos recibidos.
• Brindar a los usuarios capacitación sobre los principios y técnicas de seguridad de la información, así como los riesgos emergentes de seguridad cibernética.

Para mitigar los efectos de un ataque:

• Realice copias de seguridad de los datos y utilice espacios vacíos y contraseñas para que los atacantes no puedan acceder a ellos.
• Utilice la segmentación de la red para dificultar el movimiento lateral.
• Implemente un plan de recuperación y mantenga varias copias de datos confidenciales o de propiedad en ubicaciones seguras, segmentadas y separadas físicamente.

El equipo de investigación de vulnerabilidades del navegador de Microsoft ha encontrado e informado una vulnerabilidad en el componente de audio de Google Chrome. Google ha solucionado esta vulnerabilidad de alta gravedad ( CVE-2021-21166 ) en su navegador Chrome y advierte a los usuarios de Chrome que existe un exploit en la naturaleza para la vulnerabilidad. No es la primera vez que un exploit ataca el componente de audio de Chrome.

No hay detalles disponibles

Los detalles adicionales sobre la vulnerabilidad están restringidos hasta que la mayoría de los usuarios de Chrome se hayan actualizado a la versión parcheada del software. Lo que sí sabemos es que se trata de un problema del ciclo de vida de un objeto en el componente de audio del navegador.

Un ciclo de vida de un objeto se utiliza en la programación orientada a objetos para describir el tiempo entre la creación de un objeto y su destrucción. Fuera del ciclo de vida, el objeto ya no es válido, lo que podría generar una vulnerabilidad.

Por ejemplo, si todo sale según lo planeado con el ciclo de vida, la cantidad correcta de memoria de la computadora se asigna y se recupera en los momentos adecuados. Si no funciona bien y la memoria está mal administrada, eso podría conducir a una falla, o vulnerabilidad, en el programa.

Más vulnerabilidades parcheadas en la actualización

Como es habitual, Google corrigió varias otras vulnerabilidades y errores en la misma actualización. Algunas de las otras vulnerabilidades se enumeraron con alta gravedad:

Google dijo que solucionó tres fallas de desbordamiento del búfer de pila en los componentes TabStrip ( CVE-2021-21159 , CVE-2021-21161 ) y WebAudio ( CVE-2021-21160 ). Se encontró un error de uso después de la liberación de alta gravedad ( CVE-2021-21162 ) en WebRTC. Otras dos fallas de alta gravedad incluyen un problema de validación de datos insuficientes en el modo de lectura ( CVE-2021-21163 ) y un problema de validación de datos insuficientes en Chrome para iOS ( CVE-2021-21164 ).

Los CVE

Las fallas de seguridad informática divulgadas públicamente se enumeran en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE). Su objetivo es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios).

• CVE-2021-21159, CVE-2021-21161: Desbordamiento del búfer de pila en TabStrip. Montón es el nombre de una región de la memoria de un proceso que se utiliza para almacenar variables dinámicas. Un desbordamiento de búfer es un tipo de vulnerabilidad de software que existe cuando un área de memoria dentro de una aplicación de software alcanza su límite de dirección y escribe en una región de memoria adyacente. En el código de explotación de software, dos áreas comunes que están destinadas a los desbordamientos son la pila y el montón.
• CVE-2021-21160: Desbordamiento del búfer de pila en WebAudio.
• CVE-2021-21162: Úselo después de forma gratuita en WebRTC. Use after free (UAF) es una vulnerabilidad debido al uso incorrecto de la memoria dinámica durante el funcionamiento de un programa. Si después de liberar una ubicación de memoria, un programa no borra el puntero a esa memoria, un atacante puede usar el error para manipular el programa. WebRTC permite a los programadores agregar capacidades de comunicación en tiempo real a su aplicación.
• CVE-2021-21163: Validación de datos insuficiente en modo Lector. Una validación de datos insuficiente podría permitir a un atacante utilizar entradas especialmente diseñadas para manipular un programa.
• CVE-2021-21164: Validación de datos insuficiente en Chrome para iOS.

Cuando salgan a la luz más detalles sobre las vulnerabilidades, es posible que se encuentren más exploits en la naturaleza. Depende mucho de qué tan fácil sea abusar de ellos y qué tan grande puede ser el posible impacto. Pero con uno que ya se está utilizando en la naturaleza, es aconsejable actualizarlo ahora.

Como actualizar

La forma más fácil de hacerlo es permitir que Chrome se actualice automáticamente, que básicamente utiliza el mismo método que describí a continuación, pero no requiere su atención. Pero puede terminar rezagado si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.

Por lo tanto, no está de más comprobarlo de vez en cuando. Y ahora sería un buen momento.

Mi método preferido es que Chrome abra la página chrome: // settings / help, que también puede encontrar haciendo clic en Configuración> Acerca de Chrome .

Si hay una actualización disponible, Chrome se lo notificará y comenzará a descargarla. Luego le dirá que todo lo que tiene que hacer para completar la actualización es reiniciar el navegador.

Los vendedores ambulantes de ransomware han dado otro giro tortuoso a la reciente tendencia a la exfiltración de datos. Después de entrevistar a varias víctimas del ransomware Clop, ZDNet descubrió que sus operadores parecen apuntar sistemáticamente a las estaciones de trabajo de los ejecutivos . Después de todo, es más probable que los altos directivos tengan información confidencial en sus máquinas.

Si esta táctica funciona, y podría funcionar, es probable que otras familias de ransomware sigan su ejemplo, tal como han copiado otras tácticas exitosas en el pasado.

¿Qué es el ransomware Clop?

Clop se vio por primera vez en febrero de 2019 como una nueva variante en la familia Cryptomix , pero ha seguido su propio camino de desarrollo desde entonces. En octubre de 2020 se convirtió en el primer ransomware en exigir un rescate de más de 20 millones de dólares. La víctima, la empresa de tecnología alemana Software AG , se negó a pagar. En respuesta, los operadores de Clop publicaron información confidencial que habían recopilado durante el ataque, en un sitio web de la web oscura.

Tácticas de imitador

Cuando nos encontramos por primera vez con ransomware de cifrado de archivos, nos quedamos asombrados y horrorizados al mismo tiempo. La simplicidad de la idea, a pesar de que se requirió un poco de habilidad para perfeccionar una rutina de cifrado sólida, fue de un tipo que se reconoce de inmediato como algo duradero.

Desde entonces, el ransomware se ha desarrollado de formas que hemos visto antes en otros tipos de malware, pero también ha introducido algunas técnicas completamente nuevas. La orientación de Clop a los ejecutivos es solo la última en la lista de innovaciones que hemos presenciado en los últimos años.

Echemos un vistazo rápido a algunas de estas innovaciones que van desde trucos técnicos hasta ingeniería social avanzada.

Ataques dirigidos

La mayoría de las familias exitosas de ransomware se han alejado de las tácticas de rociar y orar a ataques más dirigidos. En lugar de intentar cifrar muchos equipos individuales mediante campañas de correo electrónico maliciosas, los atacantes ingresan manualmente a las redes corporativas e intentan paralizar organizaciones enteras.

Un atacante generalmente accede a la red de una víctima utilizando vulnerabilidades conocidas o intentando forzar una contraseña en un puerto RDP abierto . Una vez que hayan ingresado, probablemente intentarán escalar sus privilegios, mapear la red, eliminar copias de seguridad y difundir su ransomware a tantas máquinas como sea posible.

Exfiltración de datos

Una de las adiciones más recientes al arsenal de ransomware es la exfiltración de datos. Durante el proceso de infiltrarse en la red de una víctima y cifrar sus computadoras, algunas bandas de ransomware también exfiltran datos de las máquinas que infectan. Luego amenazan con publicar los datos en un sitio web o subastarlos. Esto les da a los delincuentes una ventaja adicional contra las víctimas que no pagarán, o no necesitarán, para descifrar sus datos.

Este giro adicional fue introducido por Ransom.Maze, pero también lo utilizan Egregor y Ransom.Clop, como mencionamos anteriormente.

Esconderse dentro de máquinas virtuales

Te advertí sobre las innovaciones técnicas. Este se destaca entre ellos. Como se menciona en nuestro Informe sobre el estado del malware de 2021 , la banda de ransomware RagnarLocker encontró una nueva forma de cifrar archivos en un punto final mientras evitaba la protección anti-ransomware.

Los operadores del ransomware descargan una imagen de máquina virtual (VM), la cargan silenciosamente y luego lanzan el ransomware dentro, donde el software de protección de endpoints no puede verlo. El ransomware accede a los archivos del sistema host a través de las «carpetas compartidas» de la máquina invitada.

Cifrado de discos duros virtuales

También se menciona en el informe State of Malware 2021 el ransomware RegretLocker que encontró una forma de encriptar discos duros virtuales (VHD). Estos archivos son archivos enormes que contienen el disco duro de una máquina virtual. Si un atacante quisiera encriptar el VHD, soportaría un proceso dolorosamente lento (y cada segundo cuenta cuando intentas que no te atrapen) debido al tamaño de estos archivos.

RegretLocker utiliza un truco para «montar» los discos duros virtuales, de modo que sean tan fácilmente accesibles como un disco duro físico. Una vez hecho esto, el ransomware puede acceder a los archivos dentro del VHD y cifrarlos individualmente, robarlos o eliminarlos. Este es un método de cifrado más rápido que intentar apuntar a todo el archivo VHD.

Frustrar la seguridad y la detección

El ransomware también está mejorando para evitar la detección y deshabilitar el software de seguridad existente. Por ejemplo, el ransomware Clop detiene 663 procesos de Windows (que es una cantidad asombrosa) e intenta deshabilitar o desinstalar varios programas de seguridad, antes de iniciar su rutina de cifrado.

Detener estos procesos libera algunos archivos que de otro modo no podría cifrar, porque estarían bloqueados. También reduce la probabilidad de activar una alerta y puede dificultar la producción de nuevas copias de seguridad.

¿Qué sigue?

Queda por ver si la nueva táctica de Clop será copiada por otras familias de ransomware o cómo podría evolucionar.

Se ha especulado que la táctica de amenazar con filtrar datos extraídos ha reducido las expectativas de algunas víctimas de que pagar el rescate será el fin de sus problemas. Dirigirse específicamente a los datos de los ejecutivos puede ser una forma de corregir esto, aumentando la presión sobre las víctimas.

Clop, o un imitador, también puede intentar usar la información que se encuentra en las máquinas de los gerentes para difundirla a otras organizaciones. Considere, por ejemplo, el método conocido como secuestro de hilos de conversaciones de correo electrónico, que utiliza las conversaciones de correo electrónico existentes (y, por lo tanto, las relaciones de confianza) para propagarse a nuevas víctimas. O la información podría venderse a los actores de amenazas que se especializan en el compromiso del correo electrónico empresarial (BEC) .

Para aquellos interesados, los IOC y otros detalles técnicos sobre Clop se pueden encontrar en el perfil de detección de Ransom.Clop .