Alojamiento de sitios maliciosos en servidores legítimos: ¿Cómo se las arreglan estas amenazas?

Alojamiento de sitios maliciosos en servidores legítimos: ¿Cómo se las arreglan los actores de amenazas?

Alojamiento de sitios maliciosos en servidores legítimos: ¿Cómo se las arreglan estas amenazas?

Publicado: 18 de enero de 2019 por 
Última actualización: 17 de enero de 2019

¿Cómo se las arreglan los actores de amenazas para que sus sitios y archivos se alojen en servidores de proveedores legítimos? Me he hecho esta pregunta muchas veces y muchas veces pensé: “Los actores de la amenaza pagan por ello, y para algunas empresas, el dinero es todo lo que importa”.

Pero, ¿es realmente así de simple? Decidí averiguarlo.

Le pregunté a algunas compañías, así como a algunos de mis compañeros de trabajo que están involucrados regularmente en el retiro de sitios, sobre sus experiencias.

Conversé con William Tsing, quien es responsable, entre otros, de las infracciones de la marca Malwarebytes; Steven Burn, nuestro líder del equipo de protección de sitios web; y con un portavoz de International Card Services BV (ICS), la compañía detrás de las conocidas tarjetas de crédito Visa y Mastercard. También envié consultas a algunos bancos internacionales, pero a la fecha de publicación, no respondieron. Al recibir las solicitudes de eliminación, pregunté a los proveedores sobre sus métodos y motivos.

Antecedentes de la investigación.

Para brindarle información sobre por qué participamos en las reducciones: a pesar de que protegemos a nuestros clientes al agregar dominios e IP maliciosos a nuestras listas de bloqueo, también informamos de esos sitios y tratamos de desconectarlos. Esto no siempre resulta en un derribo exitoso, pero si existe la posibilidad de proteger a todos contra sitios maliciosos (y no solo a nuestros clientes), siempre aprovecharemos la oportunidad.

Veamos este problema desde algunos ángulos, comenzando con los iniciadores de derribos.

Protegiendo tu marca y tus clientes.

Los impostores pueden darle a su empresa una mala reputación inmerecida y causar daños financieros. Muchas compañías financieras son responsables de las pérdidas debidas a correos de phishing y copias falsas de sus sitios web. Por lo tanto, generalmente están bien organizados cuando se trata de lidiar con las quejas de abuso. En el sector financiero, uno de los mayores problemas son los correos de phishing que enlazan con sitios de imitación. Estas imitaciones pueden ser convincentes, completas con  candados verdes y advertencias irónicas sobre el phishing.

Las corporaciones financieras en general y los bancos en particular están bien preparados para casos de abuso. La mayoría de ellos tienen los siguientes en su lugar:

  • Páginas educativas en su sitio sobre cómo reconocer y tratar los intentos de phishing.
  • Obtenga instrucciones sobre qué hacer si hace clic en un vínculo o ingresa sus credenciales en un sitio falso.
  • Una dirección de correo electrónico de abuso donde los clientes e investigadores pueden reenviar correos de phishing y donde puede reportar sitios falsos.
  • Un departamento de abusos que está luchando constantemente para que los sitios se desconecten y estén dirigidos a sus marcas.

El portavoz de ICS nos hizo saber que siempre intentan eliminar sitios maliciosos y tienen éxito en unos 300 casos por mes, a nivel mundial. Según su experiencia, la mayoría de los proveedores actúan con rapidez, pero a veces las diferentes zonas horarias y horarios de oficina retrasan el proceso más de lo necesario.

En Malwarebytes, también tenemos que lidiar con impostores, algunos de los cuales están vendiendo nuestro producto gratuito y otros que son estafadores de soporte técnico que pretenden ser nuestro departamento de soporte. William Tsing ha desayunado con algunos de estos muchachos, pero hay algunos casos en los que es frustrante eliminar el contenido fraudulento. Algunas de nuestras quejas son:

  • Tratar con robots automatizados que son imposibles de convencer de que hay algo fraudulento en marcha.
  • No hay respuesta del proveedor en absoluto.
  • Una cultura que preferiría recibir una queja sobre el contenido en lugar de clientes descontentos a quienes se les eliminó el contenido, sin importar cuál sea ese contenido.
Sitio web de godaddy

Este proveedor aparentemente sabe lo que debe ser eliminado.

Hosting y otros proveedores

Como se mencionó anteriormente, también enviamos algunas consultas a las empresas de alojamiento y, esto puede no ser una sorpresa: las empresas que realmente actúan a solicitud de eliminación fueron las únicas que respondieron. El resto decidió tratar mi solicitud de información de la misma manera que lo harían con una solicitud de eliminación: la ignoraron.

Según Steven Burn, responsable de las listas de bloqueo de Malwarebytes, este es un comportamiento típico. Sin embargo, en su experiencia, las empresas de alojamiento de Europa occidental y norteamericanas suelen ser mucho más cooperativas que los proveedores rusos y chinos.

Hemos preguntado a estas compañías de alojamiento qué consideran contenido malicioso y las que respondieron estuvieron de acuerdo con las siguientes razones para desconectar los sitios:

  • Contenido de phishing
  • Contenido hacking
  • Malware (como descargas)
  • Spamming

Algunos otros también especificaron:

  • Software ilegal y grietas
  • Contenido inapropiado

Todos estos proveedores estimaron que el tiempo entre la recepción de una queja y la solución del problema es de menos de ocho horas hábiles. Sé por experiencia que la mayoría son incluso más rápidos. También sabemos que los que no respondieron tienen más probabilidades de atender las solicitudes de las grandes empresas más rápido que las de los investigadores, o como dicen, “terceros no relacionados”. Y es posible que algunos no respondan, o peor aún, haz que un bot automatizado te envíe respuestas que te lleven a la pared o a la desesperación.

Acortadores de URL

Hay otros proveedores en juego cuando se trata de sitios maliciosos. Tomemos, por ejemplo, los acortadores de URL. Los ciberdelincuentes a menudo utilizan los servicios de acortamiento de URL para ofuscar redireccionamientos a destinos maliciosos. Por lo tanto, si no puede eliminar el sitio web porque el proveedor de alojamiento no responde, puede intentar obtener el acortador de URL para eliminar el enlace acortado de su lista de redirecciones. En algunos casos en los que el actor de amenazas difundió el enlace solo en forma abreviada, esto podría ser igual de efectivo. La mayoría de estos servicios de acortamiento de URL proporcionan un excelente soporte, así como instrucciones detalladas en su sitio sobre cómo proceder.

poco abuso

Registradores

Un registrador de nombres de dominio es una empresa que administra la reserva de nombres de dominio de Internet. En la cadena de alojamiento de sitios web maliciosos, son al menos tan importantes como la compañía que proporciona el servidor físico. Un registrador puede detener las solicitudes de DNS para que un dominio termine en el servidor correcto. Un registrador es también el jugador que tiene que habilitar a los actores de amenazas cuando utilizan técnicas como los algoritmos de generación de dominios (DGA) . Si el actor de amenazas no puede registrar automáticamente los dominios generados por el algoritmo, la configuración completa de la DGA falla. A veces, el registrador y la empresa de alojamiento son iguales, pero no siempre es así.

Exploraciones del servidor

Otra pregunta que les hice a los proveedores es si realizan escaneos de sus servidores para detectar malware inactivo o sitios maliciosos. El malware inactivo en un servidor podría indicar que un sitio web aloja malware para descargar. El malware alojado se puede usar como una carga útil para los troyanos descargadores, o se puede ofrecer para descargarlo bajo la cortina de humo que pretende ser un archivo legítimo. Los proveedores respondieron que sus servidores están protegidos, pero no por software de seguridad que analiza en busca de malware inactivo. Un proveedor, sin embargo, indicó que analizan los sitios recién creados en busca de signos de que el sitio podría usarse con fines maliciosos para establecerlos de forma proactiva fuera de línea.

Investigadores de seguridad

Muchos investigadores de seguridad reportarán sus hallazgos a las partes interesadas. Su efectividad parece depender de lo bien que estén conectados. Esto es desafortunado, ya que las solicitudes de investigadores relativamente desconocidos pueden ser tan legítimas como las de jugadores de larga data. Creemos que todas las quejas deben tomarse en serio, ya sea que se envíen a la dirección de correo electrónico de abuso general o al jefe del departamento; ya sea que provenga de una compañía financiera, un proveedor de antivirus o un investigador de botnet independiente.

Nuestra experiencia con los proveedores varía tanto que es difícil dar orientación general. Hay un proveedor que le permite a Steven Burn desconectar los sitios y hacer preguntas más tarde. Hubo un proveedor que fue maltratado por los estafadores de soporte técnico, pero cuando se lo indiqué, buscaron y encontraron una propiedad común en todas las cuentas que los actores de amenazas registraron con ellos. Al hacerlo, pudieron eliminar todos los sitios de los estafadores, incluso los que aún no se habían publicado. Estos son algunos ejemplos de las formas en que podríamos trabajar juntos para hacer de Internet un lugar más seguro.

Pero si usted es un investigador o trabaja en un departamento de abuso, también sabe el otro extremo del espectro. Estoy hablando de los proveedores que venderían a su abuelo por un dólar o de los gigantes de las redes sociales que reciben tantas quejas, se necesitan meses para superar las respuestas automáticas.

La respuesta a mi pregunta.

En un mundo ideal, los actores de amenazas tendrían que usar sus propios servidores para alojar sitios maliciosos. Esto haría mucho más fácil para los agentes de la ley descubrir quiénes son y ponerlos donde pertenecen. Hablar con algunas de las personas que tienen que lidiar con este problema a diario ha confirmado más o menos lo que ya sospechaba: el problema subyacente para el alojamiento de sitios maliciosos es sobre el dinero. Sin embargo, es quizás un poco más matizado de lo que originalmente creía. Mi revisión de mi respuesta original sería que hay dos problemas en juego:

  • Al proveedor no le importa de dónde proviene el dinero, o cómo se usará el sitio para ganar más dinero.
  • El proveedor no ha dado prioridad a gastar dinero en un departamento de abuso que funciona.

¿Hay algo que podamos hacer para cambiar estas actitudes? Hay una manera de hacer que los proveedores se sienten y escuchen. Cuando alojamos nuestros propios sitios, podemos preguntarnos con qué tipo de proveedor preferiríamos hacer negocios: ¿uno que tome en serio el abuso, o el que haga la vista gorda ante la ciberdelincuencia? Si las prácticas negligentes se convierten en pérdidas de ganancias, es probable que estas empresas de alojamiento tomen las solicitudes de retiro más en serio.

La espera de una legislación que responsabilice a los proveedores del contenido que alojan puede llevar mucho tiempo, o incluso puede que no ocurra en algunos países. Es mejor, entonces, tomar los asuntos en tus propias manos. Si ves algo, di algo. Y si posee su propio sitio web ahora o planea lanzar uno en el futuro, examine las prácticas comerciales de esas empresas de alojamiento e invierta en aquellas que están tomando en serio la seguridad de Internet.

¿Tienes experiencias de eliminación propia para compartir? ¿Alguna vez ha reportado un sitio malicioso a un proveedor? Quéjese en la sección de los comentarios.

Los archivos de amenazas persistentes avanzadas: APT10

Los archivos de amenazas persistentes avanzadas: APT10

Los archivos de amenazas persistentes avanzadas: APT10

Publicado: 16 de enero de 2019 por 
Última actualización: 15 de enero de 2019

Hemos escuchado mucho sobre las Amenazas Persistentes Avanzadas (APT) en los últimos años. Como actualización, las APT son ataques prolongados y dirigidos contra objetivos específicos con la intención de comprometer sus sistemas y obtener información de o sobre ese objetivo. Si bien los objetivos pueden ser cualquier persona o cualquier cosa, una persona, empresa u otra organización, las APT a menudo se asocian con operaciones gubernamentales o militares, ya que tienden a ser las organizaciones con los recursos necesarios para llevar a cabo tal ataque. Comenzando con el informe APT1 de Mandiant en 2013, ha habido un flujo continuo de exposición a la piratería a nivel nacional.

Las compañías de seguridad cibernética se han vuelto relativamente buenas en la observación y el análisis de las herramientas y tácticas de los actores de amenazas de los estados nacionales; no son tan buenos para ubicar estas acciones en contexto lo suficiente como para que los defensores realicen evaluaciones de riesgo sólidas. Así que vamos a echar un vistazo a algunos grupos APT desde una perspectiva más amplia y ver cómo encajan en el panorama de amenazas más amplio.

Hoy comenzamos con APT10. (Nota: estos grupos tienen una serie de nombres diferentes, pero para simplificar, vamos a tomar prestados los convenios de denominación de Mandiant para los grupos chinos).

¿Quién es APT10?

Observado por primera vez en 2009, el APT10 se atribuye más comúnmente a través de una investigación de código abierto al Ministerio de Seguridad del Estado  (MSS) de China . Los ataques de MSS son típicamente, pero no se limitan a: objetivos de inteligencia que rodean las negociaciones comerciales, investigación y desarrollo en competencia con entidades comerciales chinas, y objetivos de inteligencia de alto valor en el extranjero. Como ejemplo de una operación de negociación comercial, Fidelis Security observó un ataque en un pozo de agua en febrero de 2017 dirigido a los miembros del Consejo Nacional de Comercio Exterior, un grupo de presión del comercio estadounidense.

Una herramienta de uso común de APT10 es Scanbox, que es una forma de malware que puede ofrecer información sobre sus prioridades de orientación. Scanbox se ha observado en diversos objetivos del sector industrial en los EE. UU. Y Japón, pero también en disidentes uigures en el extranjero . Si bien esto respalda la tesis de que APT10 es un grupo de amenazas del gobierno, le advertimos a los defensores contra la asociación de cualquier pieza de malware exclusivamente con un grupo. Los países mantienen múltiples grupos de amenazas, todos los cuales son completamente capaces de colaborar y compartir TTP.

Malware implementado comúnmente

APT10 es conocido por implementar el siguiente malware:

Nota: PlugX y Poison Ivy fueron desarrollados y desplegados originalmente por actores chinos patrocinados por el estado. Desde entonces, se han vendido y revendido a actores de amenazas individuales en múltiples naciones. Al momento de escribir, no es apropiado atribuir un ataque a los actores de amenazas chinos basándose únicamente en la implementación de PlugX o Poison Ivy.

¿Debería estar preocupado?

Eso depende del tipo de organización que ejecute. Se ha observado que APT10 se dirige principalmente a las telecomunicaciones de construcción, ingeniería, aeroespacial y regional, así como a los objetivos gubernamentales tradicionales. Si su empresa existe fuera de estos verticales, es poco probable que APT10 invierta el tiempo y los recursos para dirigirse a usted. Para las empresas fuera del perfil de orientación, es mucho más rentable gastar los presupuestos de defensa en vulnerabilidades comunes que son más aprovechadas por atacantes comunes.

¿Qué podrían hacer después?

Como la mayoría de las APT, APT10 se ha dirigido tradicionalmente a gran escala cuando ataca a una empresa comercial. Sin embargo, un informe más reciente de Price Waterhouse Cooper y BAE Systems sugiere que han comenzado a dedicar una parte de sus operaciones a los proveedores de servicios gestionados (MSP), muy probablemente en un intento de filtrar datos confidenciales de los clientes. Dado que cada vez hay más conciencia de las amenazas avanzadas por parte de los objetivos de alto valor, continuar apuntando a los MSP de esta manera es un medio plausible de obtener los mismos datos deseados a un menor costo.

Recursos adicionales

Si desea leer un poco más sobre APT, y específicamente APT10, eche un vistazo a los siguientes recursos:

Perfil APT10 de FireEye

Artículo de Dark Reading: el actor de amenazas APT10 con sede en China incrementa la actividad de ciberespionaje

Resumen de PwC sobre Operación Cloud Hopper (campaña APT10)

Cómo el cierre del gobierno está influyendo en los trabajos de ciberseguridad

Cómo el cierre del gobierno está influyendo en los trabajos de ciberseguridad

Cómo el cierre del gobierno está influyendo en los trabajos de ciberseguridad

Publicado: 15 de enero de 2019 por 

A partir de este escrito, el cierre del gobierno de 2019 es el más largo de la historia de América . La única buena noticia sobre esta situación es que, con cada día que pasa, un nuevo grupo de personas en el país parece descubrir cuán esenciales son los servicios gubernamentales, ahora que no están disponibles.

Incluso aquellos de nosotros que no nos vemos obligados a perder el trabajo pronto sentiremos el aguijón de esta ronda de teatro político.

La próxima víctima probable es el establo de talentos de ciberseguridad del gobierno. He aquí por qué y lo que podría significar para nosotros a largo plazo.

¿Cuánto talento del gobierno está desposeído?

Algunos de nosotros nos sorprenderíamos al saber que el gobierno federal tiene una fuerza laboral dedicada exclusivamente a la ciberseguridad. Muchas de estas instituciones y equipos completamente esenciales se reducen a grupos de esqueletos, mientras que la gente en DC se da cuenta de las cosas. Esto tiene el potencial de causar daños duraderos cuando se trata de la capacidad del gobierno para retener a estos especialistas.

En el momento de redactar este informe, el Departamento de Seguridad Nacional ha suspendido al 20 por ciento de su personal dedicado a las “principales operaciones cibernéticas”, así como a funciones administrativas y de apoyo. Pero cuando observa todo el aparato de ciberseguridad del gobierno federal, la pérdida potencial total de talento es mucho mayor que solo el DHS. Según un documento de planificación, el 43 por ciento de toda la fuerza laboral de ciberseguridad de los EE. UU. Está actualmente suspendida .

Sin embargo, ocupando el primer lugar está el Instituto Nacional de Estándares y Tecnología, o NIST, con el 85 por ciento de su personal suspendido .

Esto representa un peligro hoy en varios niveles. Pero también hay un tipo de daño más duradero del que pocos están hablando en este momento.

¿Los empleados federales acudirán al sector privado?

Algunas de las iniciativas de personal y talento más importantes tomadas durante la administración de Obama se referían al tratamiento, la compensación y los beneficios de los empleados y contratistas federales. El objetivo era hacer que el sector público (el gobierno) fuera más competitivo con el sector privado. Así es como las corporaciones retienen talento, y es así como el gobierno puede hacerlo también.

No es un secreto que las perspectivas de trabajo para los científicos informáticos, y en particular los especialistas en ciberseguridad, son bastante cómodos en este momento. Los desarrolladores de software disfrutan de un ingreso medio de más de $ 100,000 por año .

Pero ahora que el gobierno está cerrado, Washington, DC (y todos nuestros gobiernos estatales) lucharán aún más, no solo para ganar talento del sector privado, sino para mantenerlo. Con los cheques de pago potencialmente fuera de la mesa por “meses o años”, según el Presidente, cada vez es más probable que esta situación ya frágil sea llevada al punto de ruptura.

En una entrevista con el Washington Post, un ex funcionario cibernético del DHS llamado Greg García explicó la situación: “Hay imprevisibilidad e incertidumbre e inestabilidad [para los empleados cibernéticos del DHS]” , dijo . “Agregue encima de todo lo que no se paga, y no los envidio”.

¿Mencionamos que García es un ex funcionario cibernético del DHS?

El problema aquí es uno de moral. No hemos estado esforzándonos lo suficiente en los últimos años para mantener la competitividad del gobierno con la industria, y ahora estamos pagando el precio.

¿Qué depara el futuro para el talento de ciberseguridad a nivel federal?

La conclusión con este cierre del gobierno, al igual que con cualquier otro, es que enviar a sus empleados a casa sin paga, y sin un calendario para cuando sus trabajos y oficinas estarán en funcionamiento, es una mala manera de hacer negocios. Esta es una mala muestra de parte de un gobierno que adquiere su propia visión para los negocios desde ambos lados del pasillo político.

Lo que es probable que veamos es un “efecto escalofriante” en la próxima generación o dos de empleados gubernamentales potenciales. Mantener estas posiciones como rehenes en las negociaciones presupuestarias, posiciones para las cuales los solicitantes obtuvieron títulos y acreditación, es equivalente a decirles que el gobierno no es un empleador honorable y que su talento no se valora, y que no nos importa si lo toman. en otra parte.

Y hay un montón de “otro lugar” para ellos, resulta. En 2017, había casi 300,000 puestos de trabajo disponibles en las “ciencias cibernéticas”. Eso suena a muchas oportunidades, pero en realidad se convertirá en una escasez de talento total de 1.8 millones de empleos para 2022.

Realmente no queremos alejar a las personas de esta línea de trabajo, especialmente cuando las apuestas son tan altas. Además, está claro que el gobierno no puede permitirse perder el talento que ya está reunido. No va a haber suficiente para pasar demasiado tiempo, y las prioridades, posiblemente, deberían estar en la seguridad nacional.

Recordando las estacas

Apenas pasa un día sin que nos recuerden que, al igual que nos ha acercado, la conectividad a Internet también ha proporcionado nuevas herramientas para posibles influencias disruptivas.

Los informes están disponibles ahora que detallan el grado en que la infraestructura nacional crítica, como nuestras centrales nucleares y otras centrales eléctricas, las instalaciones de tratamiento de agua y las redes eléctricas, son sorprendentemente vulnerables a los intentos de piratería interna y extranjera . Esta es una época brillante y maravillosa, pero está claro que muchos de los sistemas en los que confiamos para la vida civilizada no son tan seguros como se supone que deben ser.

Debemos recordar que incluso nuestras máquinas de votación están desactualizadas y tienen una buena posibilidad de ser hackeadas o manipuladas. No ha habido mucho ruido en Washington acerca de tapar estos agujeros de seguridad peligrosos y antidemocráticos. Sin embargo, el desalojo y la devaluación del talento cibernético a nivel federal y estatal no es una buena manera de atraer la atención y el apoyo a temas tan importantes.

¿Hay alguna solución previsible a este problema?

La primera solución implica recordar que el Departamento de Defensa de los EE. UU., Incluso antes de que se cerrara el gobierno, ya estaba perdiendo unos 4.000 empleados al sector privado cada año, una señal de que nuestro gobierno ya era un lugar insatisfactorio para trabajar. De hecho, “insatisfecho” o “muy insatisfecho” fue la forma en que el 20 por ciento de los empleados del DHS describieron sus trabajos en una encuesta realizada en 2018 .

Incluso algunos de los recursos más críticos en Internet han sido desconectados por este cierre . NIST mantiene catálogos de estándares de ciberseguridad gubernamentales que son esenciales para mantener el tiempo de actividad de la página web y los certificados HTTPS. Con el 85 por ciento de su personal sentado en casa, los certificados de seguridad caducarán y los sitios web serán retirados.

Cuando recursos como estos no están disponibles, Internet se convierte en un lugar evidentemente menos seguro para pasar el tiempo . Y eso es lo último que queremos.

Una semana en seguridad informatica (7 – 13 de enero)

Una semana en seguridad (7 - 13 de enero)

Una semana en seguridad (7 – 13 de enero)

Publicado: 14 de enero de 2019 por 

La semana pasada, en el blog Malwarebytes Labs, echamos un vistazo al ataque de Ryuk ransomware que causó problemas durante las vacaciones, así como una  amenaza de rescate para una empresa de transporte irlandesa. Exploramos el reino de las estafas de SSN y observamos lo que sucede cuando un sistema de alerta temprana es atacado.

Otras noticias de ciberseguridad.

  • Problemas de reutilización de contraseña. Varias cuentas de Reddit informaron que se habían bloqueado después de que los administradores del sitio culparan por la “reutilización de contraseña” por el problema. (Fuente: El Registro)
  • 85 aplicaciones maliciosas extraídas de Play Store. Lamentablemente, no antes ya habían tenido lugar unos 9 millones de descargas . (Fuente: Trend Micro)
  • Riesgo de enrutador a domicilio. Parece que muchos enrutadores domésticos no están haciendo lo suficiente en la lucha contra los piratas informáticos . (Fuente: Help Net Security)
  • Eliminación no permitida. Algunas personas no están felices de no poder eliminar Facebook de sus teléfonos Samsung. (Fuente: Bloomberg)
  • Takedown: cómo un administrador de sistema derribó el notorio “El Chapo”. (Fuente: USA Today)
  • 2FA bajo fuego.  Se puede usar una nueva herramienta de pentest llamada Mantis para ayudar en el phishing de los códigos OTP (contraseña de una sola vez). (Fuente: Naked Security) 
  • Facebook no cumple con las nuevas leyes de seguridad en Vietnam. Las nuevas reglas han traído un punto de incomodidad para Facebook, acusado de no eliminar ciertos tipos de contenido y entregar datos relacionados con “cuentas fraudulentas”. (Fuente: Vietnam News)
  • Sitio de comercio tiene un problema de fugas. Un usuario en la plataforma de operaciones recién creada pudo capturar una gran cantidad de fragmentos potencialmente problemáticos , incluidos tokens de autenticación y enlaces de restablecimiento de contraseña. (fuente: Ars Technica)
  • Riesgo local a los datos de la tarjeta. Un investigador descubrió que la información de pago se estaba almacenando localmente en las máquinas, exponiéndolas potencialmente a cualquier persona con acceso físico. (Fuente: Hacker One) 
  • Facebook exec golpeó. La peligrosa “broma” de enviar a las autoridades armadas a una dirección termina causando problemas para un “ejecutivo de ciberseguridad”, después de que las llamadas falsas afirmaran que tenían “bombas de tubo por todas partes” (fuente: publicación diaria de PA)

Mantenganse seguros, todos

Los estafadores de Número de Seguridad Social están en eso otra vez

Los estafadores de Número de Seguridad Social están en eso otra vez

Los estafadores de Número de Seguridad Social están en eso otra vez

Publicado: 10 de enero de 2019 por 

La Comisión Federal de Comercio (FTC, por sus siglas en inglés) volvió a  sonar la alarma a mediados de diciembre sobre la última estafa del Número de Seguro Social (SSN) que continúa afectando a miles de estadounidenses .

Mientras que la mayoría de nosotros sólo eran capaces de leer acerca de este tipo de estafa en el pasado, la FTC tiene ahora una grabación de audio de una estafa SSN robocall , que se  liberan dos semanas después de la advertencia.

Reproduzca el audio a continuación y familiarícese con cómo suena una estafa SSN. Tome nota de las frases de la oración y la leve amenaza en el extremo cercano de la grabación automática dirigida a aquellos que no están lo suficientemente motivados para devolver el número que proporcionó.

Reproductor de música

Transcripción:

… Las agencias de aplicación de la ley suspenden su número de Seguro Social de manera inmediata, ya que hemos recibido pistas sospechosas de información a su nombre. En el momento en que reciba este mensaje, necesito que se comunique conmigo al número gratuito de mi división del departamento que es 1-888-952-5554. Repito 1-888-952-5554. Verifique los últimos cuatro dígitos de su número de Seguro Social cuando llame para ayudarlo mejor con este problema. Ahora, si no escucho una llamada suya, tendremos que emitir una orden de arresto bajo su nombre y hacer que lo arresten. Entonces, vuelve a llamarme lo antes posible.Gracias.

Esta grabación en particular no fue específica sobre los “rastros sospechosos de información” a los que se referían, pero ha habido informes a la FTC de estafadores que vinculan el SSN de su objetivo con ciertos delitos que afirman que están ocurriendo  en Texas , como el envío ilegal de dinero fuera del pais

La FTC observó que la amenaza de individuos o grupos que pretenden ser de la Administración del Seguro Social (SSA) está creciendo a un ritmo exponencial. De hecho, hubo un aumento del 994 por ciento en las estafas de SSN informadas a FTC, de 3,200 en 2017 a 35,000 en 2018.

No solo un numb3rs g4m3

Un atributo que hace que las estafas SSN sean exitosas (y hace que sea más probable que acepte más las llamadas) es el uso de la tecnología por parte de los estafadores para imitar el número de contacto legítimo de la Administración del Seguro Social (SSA, por sus siglas en inglés) para que aparezca en el identificador de llamadas cuando se comunica con objetivos. . En este caso, los estafadores utilizaron el 1-800-772-1213 , el número nacional de servicio al cliente de la SSA. Sin embargo, las estafas SSN son más que un juego de números.

Viendo rojo

Para ayudarlo a descubrir otras tácticas utilizadas por los estafadores de SSN, a continuación se incluye una lista de banderas rojas o tácticas con las que estos estafadores practican que cualquier persona con un Número de Seguro Social debería estar al menos familiarizada con:

  • La llamada sale de la nada, especialmente si no se ha contactado con la SSA primero o si no tiene un negocio en curso con ellos, como una solicitud pendiente de Discapacidad del Seguro Social (SSD) . Si tiene una solicitud pendiente con el SSA, un agente puede llamar si la información en la solicitud no está completa, las respuestas en el formulario no son legibles o si el agente ha encontrado algunas discrepancias entre la información que proporcionó en la solicitud. y la información que obtuvieron de otras agencias federales. Un agente de la SSA solo solicitará su SSN si el que usted proporcionó no es válido o es incorrecto.
  • El supuesto agente de la SSA realiza solicitudes o reclamaciones falsas o preocupantes , como:
    • Su número de seguro social se suspende debido a enlaces relacionados con el crimen (como lo que afirma el robocaller en la grabación anterior). Hecho: los números de seguro social no se suspenden.
    • Necesita “reactivar” su SSN suspendido. Luego, los estafadores solicitan más información o una tarifa para hacer esto.
    • Debe pagar algo de inmediato, como una deuda (y no le permitirán apelar la cantidad que debe).
    • Debe enviar su pago a través de un medio que especifiquen, como el agente que le exige que pague con su tarjeta de débito prepaga.
    • Debe proporcionar un número de ruta bancaria o detalles de la tarjeta por teléfono.
    • Su número de seguro social está vinculado a actividades maliciosas que lo conducirán a su arresto o deportación.
    • El sistema de SSA está inactivo, por lo que debe proporcionar al supuesto agente su información personal, como el SSN, la fecha de nacimiento, el apellido de soltera de la madre y la información bancaria.

“Los empleados de la SSA se comunican con los ciudadanos por teléfono para propósitos de servicio al cliente, y en algunas situaciones, un empleado de la SSA puede solicitar que el ciudadano confirme su información personal por teléfono”, escribe Andrew Cannarsa, director de comunicaciones de la Oficina del Inspector General (OIG) . “Sin embargo, los empleados de la SSA nunca lo amenazarán por obtener información ni le prometerán una aprobación de beneficios del Seguro Social o un aumento a cambio de información. En esos casos, la llamada es fraudulenta ”.

Solo cuelga

Colgar es el mejor curso de acción cuando respondiste deliberada o accidentalmente a una llamada que, en algún momento, se dio cuenta de que parece una estafa. En caso de duda, asuma que es una estafa. Además, nadie, ni siquiera la legítima SSA, lo penalizará por colgarlos. Recuerda que cuando se trata de pellizcar estafas, tienes el control . Termínalo antes de que puedan decir otra palabra.

La prevención, por supuesto, sigue siendo clave. Ser capaz de detectar las señales de alerta conocidas que hemos identificado anteriormente y saber qué hacer si observa un destello de número de SSA legítimo en la pantalla de identificación de llamadas, ya sea que tenga o no negocios pendientes con ellos, puede minimizar el riesgo.

¿Está llamando la SSA? No levantes el teléfono. En su lugar, llame a la SSA a través de su número de servicio al consumidor y pregunte si han estado tratando de comunicarse con usted.

Otras estafas relacionadas con SSN

Desafortunadamente, los niños y los fallecidos tampoco están a salvo de los estafadores y ladrones de identidad. Padres, asegúrese de encontrar el tiempo para verificar los puntajes de crédito de sus hijos para asegurarse de que permanecen intactos y no están siendo construidos por otra persona. Si ve que algo está mal o si ve signos de posible robo de identidad, vaya a esta página de la FTC para leer más.

Los familiares de los seres queridos fallecidos también deben hacer verificaciones de crédito de vez en cuando. El Centro de Recursos para el Robo de Identidad tiene material útil sobre cómo se puede proteger la identidad del fallecido y otros consejos .

Cuando se trata de estafas, lo siguiente siempre es cierto: ¿Parece sospechoso o “apagado” de alguna manera? Si es así, probablemente lo sea. Proceda con precaución y proteja bien su Número de Seguro Social.

Ryuk Ransomware ataca a las empresas durante las vacaciones

Ryuk ransomware ataca a las empresas durante las vacaciones.

Ryuk ransomware ataca a las empresas durante las vacaciones.

Publicado: 8 de enero de 2019 por 

Mientras las familias se reunían para la comida y la alegría en la víspera de Navidad, la mayoría de los negocios dormían. Nada se movía, ni siquiera un ratón, o eso pensaban.

Para aquellos en Tribune Publishing y Data Resolution, sin embargo, un ataque silencioso se extendió lentamente a través de sus redes, cifrando datos y deteniendo las operaciones. Y este ataque fue de una familia de ransomware bastante nueva llamada Ryuk.

Ryuk, que hizo su debut en agosto de 2018, es diferente de muchas otras familias de ransomware que analizamos, no por sus capacidades, sino por la novedosa forma en que infecta los sistemas.

Así que echemos un vistazo a esta nueva amenaza difícil de alcanzar. ¿Qué es Ryuk? ¿Qué lo hace diferente de otros ataques de ransomware? ¿Y cómo pueden las empresas detenerlo y amenazas similares en el futuro?

¿Qué es Ryuk?

Ryuk apareció por primera vez en agosto de 2018 , y aunque no es increíblemente activo en todo el mundo, al menos tres organizaciones se vieron afectadas por las infecciones de Ryuk en el transcurso de los primeros dos meses de sus operaciones, lo que llevó a los atacantes a un rescate de aproximadamente $ 640,000 por sus esfuerzos.

A pesar de una exitosa infección, el propio Ryuk posee una funcionalidad que usted vería en algunas otras familias modernas de ransomware. Esto incluye la capacidad de identificar y cifrar los recursos y unidades de red, así como eliminar las instantáneas en el punto final. Al hacer esto, los atacantes podrían deshabilitar la opción Restaurar sistema de Windows para los usuarios y, por lo tanto, imposibilitar la recuperación del ataque sin copias de seguridad externas.

Ryuk “cortés” nota de rescate

Un aspecto interesante de este ransomware es que deja caer más de una nota en el sistema. La segunda nota está escrita en un tono cortés, similar a las notas lanzadas por el ransomware BitPaymer, que se suma al misterio.

Ryuk “no tan cortés” nota de rescate

Similitudes con Hermes

Los investigadores en Checkpoint ya han realizado un análisis profundo de esta amenaza, y uno de sus hallazgos fue que Ryuk comparte muchas similitudes con otra familia de ransomware: Hermes .

Dentro de Ryuk y Hermes, hay numerosos casos de segmentos de código similares o idénticos. Además, se han descubierto varias cadenas dentro de Ryuk que se refieren a Hermes, en dos casos separados.

Cuando se inicie, Ryuk primero buscará el marcador Hermes que se inserta en cada archivo cifrado. Este es un medio para identificar si el archivo o sistema ya ha sido atacado y / o encriptado.

El otro caso involucra carpetas incluidas en la lista blanca, y si bien no es tan condenatoria como la primera, el hecho de que ambas familias de ransomware incluyan en la lista blanca ciertos nombres de carpetas es otra pista de que las dos familias pueden compartir sus creadores. Por ejemplo, tanto Ryuk como Hermes ponen en la lista blanca una carpeta llamada “Ahnlab”, que es el nombre de un popular software de seguridad de Corea del Sur.

Si conoce su malware, puede recordar que Hermes fue atribuido al grupo Lazarus, que está asociado con las operaciones sospechosas de los estados nacionales de Corea del Norte. Esto ha llevado a muchos analistas y periodistas a especular que Corea del Norte estaba detrás de este ataque.

No estamos tan seguros de eso.

Ataques notables

En los últimos meses se han producido múltiples ataques de Ryuk notables, principalmente en los Estados Unidos, en los que el ransomware infectó grandes cantidades de puntos finales y exigió rescates más altos de lo que normalmente vemos (15 a 50 Bitcoins).

Uno de estos ataques fue contra la Autoridad de Aguas y Alcantarillados de Onslow (OWASA) el 15 de octubre de 2018, lo que evitó que la organización pudiera usar sus computadoras por un tiempo. Si bien los servicios de agua y alcantarillado, así como los datos de los clientes, no se vieron afectados por el ataque de ransomware, aún causó un daño significativo a la red de la organización y dio lugar a la reconstrucción de numerosas bases de datos y sistemas desde cero.

Metodo de infeccion

Según Checkpoint y muchos otros analistas e investigadores, Ryuk se distribuye como una carga útil secundaria a través de botnets, como TrickBot y Emotet .

Aquí está la teoría de la ejecución: Emotet realiza la infección inicial en el punto final. Tiene sus propias capacidades para propagarse lateralmente a través de la red, así como lanzar su propia campaña malspam desde el punto final infectado, enviando malware adicional a otros usuarios en la misma red o en redes diferentes.

A partir de ahí, la carga útil más común que hemos visto caer a Emotet en los últimos seis meses ha sido TrickBot . Este malware tiene la capacidad de robar credenciales y también de moverse lateralmente por la red y propagarse de otras maneras.

Tanto TrickBot como Emotet se han utilizado como ladrones de información, descargadores e incluso gusanos según su funcionalidad más reciente.

En algún momento, por razones que exploraremos más adelante en esta publicación, TrickBot descargará y descargará Ryuk ransomware en el sistema, asumiendo que la red infectada es algo que los atacantes quieren rescatar. Como no vemos una fracción del número de detecciones de Ryuk como vemos a Emotet y TrickBot a través de la telemetría de nuestro producto, podemos suponer que no es la operación estándar predeterminada para infectar sistemas con Ryuk después de un tiempo, sino algo que Es activado por un atacante humano detrás de las escenas.

Estadísticas

Echemos un vistazo a las estadísticas de Emotet, Ryuk y TrickBot desde agosto hasta el presente y veamos si podemos identificar una tendencia.

Detecciones de Malwarebytes del 1 de agosto de 2018 al 2 de enero de 2019

La línea azul representa a Emotet, el troyano de información más grande de 2018. Si bien esta tabla solo nos muestra agosto en adelante, puede estar seguro de que durante gran parte del año, Emotet estuvo en el mapa. Sin embargo, a medida que navegábamos hacia el cuarto trimestre de 2018, se convirtió en un problema mucho mayor.

La línea naranja representa TrickBot. Se espera que estas detecciones sean más bajas que Emotet, ya que Emotet suele ser la carga útil primaria. Esto significa que para que TrickBot pueda detectarse, debe haber sido entregado directamente a un punto final o haber sido eliminado por una infección de Emotet que no fue detectada por el software de seguridad o implementado en un sistema sin él. Además, TrickBot no ha sido la carga útil predeterminada para Emotet durante todo el año, ya que el troyano ha intercambiado continuamente las cargas útiles, según la época del año y la oportunidad.

En base a esto, para ser golpeado con Ryuk (al menos hasta que entendamos la verdadera intención aquí), deberá tener desactivado, no instalado o no haber actualizado su software de seguridad. Deberá abstenerse de realizar exploraciones regulares para identificar TrickBot o Emotet. Necesitará tener puntos finales no parcheados o credenciales débiles para que TrickBot y Emotet se muevan lateralmente a través de la red y, finalmente, debe ser un objetivo.

Dicho esto, aunque nuestras detecciones de Ryuk son pequeñas en comparación con las otras familias en esta tabla, es probable que detectemos la infección durante una etapa anterior del ataque, y las circunstancias para un ataque de Ryuk deben ser correctas, como Goldilocks. ‘papilla. Sorprendentemente, las organizaciones han creado el entorno perfecto para que estas amenazas prosperen. Esta también puede ser la razón detrás del gran pago de rescate, ya que menos infecciones conducen a menos pagos.

Campaña de navidad

Mientras estuvo activo a principios de año, Ryuk no hizo tantos titulares como cuando lanzó su “campaña de vacaciones”, o más bien los dos grupos más grandes de infecciones de Ryuk, que ocurrieron durante la Navidad.

La tabla a continuación muestra nuestras estadísticas de detección de Ryuk desde principios de diciembre hasta ahora, con los dos picos de infección observados con estrellas.

Detecciones de Ryuk de Malwarebytes 5 de diciembre de 2018 – 2 de enero de 2019

Estos picos muestran que los ataques significativos ocurrieron el 24 de diciembre y el 27 de diciembre.

Ataque de resolución de datos

El primer  ataque fue en Dataresolution.net , un proveedor de alojamiento en la nube, en la víspera de Navidad. Como puede ver desde arriba, fue la cantidad de Ryuk que detectamos en un solo día en el último mes.

Según la Resolución de datos , Ryuk pudo infectar sistemas utilizando una cuenta de inicio de sesión comprometida. Desde allí, el malware le dio a los atacantes el control del dominio del centro de datos de la organización hasta que la resolución de datos cerró toda la red.

La compañía asegura a los clientes que no se comprometió ningún dato del usuario, y la intención del ataque fue secuestrar, no robar. Aunque, saber en primer lugar cómo este malware encuentra su camino hacia un punto final es una buena señal de que probablemente hayan perdido al menos algo de información.

Tribune Publishing ataque

Nuestra segunda estrella representa el ataque del 27 de diciembre, cuando varias organizaciones de papel de periódico bajo el paraguas de Tribute Publishing (ahora o en el pasado reciente) fueron golpeadas con Ryuk ransomware, lo que deshabilitó la capacidad de estas organizaciones para imprimir sus propios papeles.

El ataque fue descubierto el jueves por la noche, cuando uno de los editores del San Diego Union-Tribune no pudo enviar las páginas completas a la imprenta. Estos problemas se han resuelto desde entonces.

Teorias

Creemos que Ryuk está infectando sistemas que utilizan Emotet y TrickBot para distribuir el ransomware. Sin embargo, lo que no está claro es por qué los criminales usarían este ransomware después de una infección ya exitosa.

En este caso, podemos tomar una página del libro de jugadas de Hermes. Fuimos testigos del uso de Hermes en Taiwán como un medio para cubrir las huellas de otra familia de malware que ya está en la red. ¿Se usa Ryuk de la misma manera?

Dado que Emotet y TrickBot no son programas maliciosos patrocinados por el estado, y generalmente se lanzan automáticamente a un conjunto de posibles víctimas (en lugar de identificar un objetivo y se lanzan manualmente), parece extraño que Ryuk se use solo en unos pocos casos Para ocultar la infección. Entonces tal vez podamos descartar esta teoría.

Una segunda teoría, más probable, es que el propósito de Ryuk es como un último esfuerzo para obtener más valor de un objetivo que ya es jugoso.

Digamos que los atacantes detrás de Emotet y TrickBot hacen que sus robots diseñen redes para identificar una organización objetivo. Si el objetivo tiene una propagación de infección suficientemente grande de Emotet / TrickBot, y / o si sus operaciones son críticas o lo suficientemente valiosas como para que la interrupción provoque una inclinación a pagar el rescate, entonces ese podría ser el objetivo perfecto para una infección de Ryuk.

La verdadera intención de usar este malware solo puede ser especulada en este punto. Sin embargo, ya sea ocultando las pistas de otros programas maliciosos o simplemente buscando formas de ganar más dinero después de robar todos los datos relevantes que puedan, las empresas deben tener cuidado de no escribir esto.

El hecho es que hay miles de infecciones activas de Emotet y TrickBot en todo el mundo en este momento. Cualquiera de las organizaciones que enfrentan estas amenazas debe tomarlas en serio, ya que un ladrón de información puede convertirse en un ransomware desagradable en cualquier momento. Esta es la verdad de nuestro panorama moderno de amenazas.

Atribución

Como se mencionó anteriormente, muchos analistas y periodistas han decidido que Corea del Norte es el atacante más probable para distribuir Ryuk. Si bien no podemos descartarlo por completo, no estamos completamente seguros de que sea correcto.

Ryuk coincide con Hermes de muchas maneras. Sobre la base de las cadenas encontradas, probablemente se construyó sobre, o es una versión modificada de Hermes. La forma en que los atacantes obtuvieron el código fuente es desconocida, sin embargo, hemos observado casos en los que los delincuentes vendían versiones de Hermes en foros de hackers.

Esto introduce otra razón potencial por la que el código fuente llegó a las manos de un actor diferente.

Identificar la atribución de este ataque en base a las similitudes entre dos familias, una de las cuales está asociada con un grupo de ataque de estado-nación conocido (Lázaro) es una falacia lógica, como lo describe Robert M. Lee en un artículo reciente, “La atribución no es Transitivo – Tribute Publishing Cyber ​​Attack como un estudio de caso “. El artículo profundiza más en los errores de atribución basados ​​en evidencia endeble. Advertimos a los lectores, periodistas y otros analistas acerca de sacar conclusiones de las correlaciones.

Proteccion

Ahora que sabemos cómo y potencialmente por qué Ryuk ataca a las empresas, ¿cómo podemos protegernos contra este malware y otros similares?

Centrémonos en tecnologías y operaciones específicas que han demostrado ser eficaces contra esta amenaza.

Tecnología anti-exploit

El uso de exploits tanto para la infección como para el movimiento lateral ha aumentado durante años. El principal método de infección para Emotet en este momento es a través de spam con documentos de Office adjuntos cargados con scripts maliciosos .

Estos scripts maliciosos son macros que, una vez que el usuario hace clic en “Habilitar contenido” (generalmente a través de algún tipo de truco de ingeniería social), lanzarán scripts adicionales para causar estragos. Lo más frecuente es que veamos scripts para JavaScript y PowerShell, y PowerShell se está convirtiendo rápidamente en el lenguaje de scripting de facto para infectar a los usuarios.

Si bien puede detener estas amenazas capacitando a los usuarios para que reconozcan los intentos de ingeniería social o use una plataforma de protección de correo electrónico que reconozca el spam malicioso, el uso  de la tecnología anti-exploit  también puede impedir que esos scripts maliciosos intenten instalar malware en el sistema.

Además, el uso de tecnologías de protección, como el  anti-ransomware, agrega inmensas cantidades de protección contra las infecciones de ransomware, deteniéndolos antes de que puedan causar daños graves.

Escaneos regulares y actualizados de malware

Esta es una regla general que se ha ignorado las veces suficientes como para que valga la pena mencionarla aquí. Para tener soluciones de seguridad efectivas, deben usarse  y actualizarse con frecuencia para que puedan reconocer y bloquear las amenazas más recientes.

En un caso, el equipo de TI de una organización ni siquiera sabía que estaban mal con las infecciones de Emotet hasta que habían actualizado su software de seguridad . Tenían una confianza falsa en una solución de seguridad que no estaba completamente armada con las herramientas para detener las amenazas. Y debido a eso, tenían un serio problema en sus manos.

 

Segmentacion de red

Esta es una táctica que hemos estado recomendando durante años, especialmente cuando se trata de proteger contra el ransomware. Para asegurarse de no perder sus unidades y recursos asignados o conectados en red si se infecta un solo punto final, es una buena idea segmentar el acceso a ciertos servidores  y archivos.

Hay dos formas de segmentar su red y reducir el daño de un ataque de ransomware. Primero, restrinja el acceso a ciertas unidades asignadas según los requisitos del rol. En segundo lugar, use un sistema independiente o de terceros para almacenar archivos y carpetas compartidos, como Box o Dropbox.

Amenazas en desarrollo

Este último año ha traído algunos enfoques novedosos para causar interrupciones y devastación en el lugar de trabajo. Si bien el ransomware fue el malware más letal para las empresas en 2017, 2018 y más allá, nos brindan múltiples malware implementados en una única cadena de ataques.

Además, familias como Emotet y TrickBot continúan evolucionando sus tácticas, técnicas y capacidades, haciéndolas más peligrosas con cada nueva generación. Si bien hoy, podemos estar preocupados por la caída de Ryuk por parte de Emotet, mañana, Emotet podría simplemente actuar como un ransomware. Depende de las empresas y los profesionales de la seguridad mantenerse al tanto de las amenazas emergentes, por pequeñas que sean, ya que a menudo señalan un cambio en la forma de las cosas por venir.

Gracias por leer y navegar con seguridad!

Vidar y GandCrab: combo de ladrón y ransomware observado en la naturaleza

Vidar y GandCrab: combo de ladrón y ransomware observado en la naturaleza

Vidar y GandCrab: combo de ladrón y ransomware observado en la naturaleza

Publicado: 4 de enero de 2019 por 

Hemos estado rastreando una prolífica campaña de publicidad maliciosa durante varias semanas y hemos capturado una variedad de cargas útiles, incluidos varios ladrones. Uno que inicialmente identificamos como Arkei resultó ser Vidar, una nueva pieza de malware recientemente analizada en detalle por Fumik0_  en su publicación:  Vamos a profundizar en Vidar: un Arkei Copycat / Forked Stealer (análisis en profundidad) .

En la mitología nórdica,  Víðarr  es un dios e hijo de Odín , cuya muerte se predice que se vengará. Ser referido como “El Silencioso” parece ser adecuado para este ladrón que puede saquear desde los historiales del navegador (incluido el Navegador Tor) y las carteras de criptomoneda, capturar mensajes instantáneos y mucho más.

Fuimos testigos de un actor de amenazas que usaba el kit de exploits Fallout para distribuir Vidar. Pero las víctimas no lo notarán tanto, ya que la carga útil secundaria y más ruidosa que se está empujando es el ransomware GandCrab.

Visión general

Una cadena de publicidad maliciosa nos lleva al kit de explotación de Fallout seguido de lo que pensamos que era un ladrón de Arkei. En una mirada más cercana, mientras que la muestra compartía muchas similitudes con Arkei (incluidos los eventos de la red), en realidad era una pieza de malware más nueva y, en ese momento, aún no descrita públicamente ahora identificada como Vidar.

Más allá de las capacidades del ladrón de Vidar, también notamos una carga útil secundaria que se recuperó del propio servidor de comando y control (C2) de Vidar. La línea de tiempo de la infección mostró que las víctimas se infectaron primero con Vidar, que intentó extraer información confidencial, antes de que finalmente se comprometiera con el ransomware GandCrab.

Malvertising y el kit de exploits de Fallout.

Los sitios de torrent y video streaming generan mucho tráfico, y su publicidad a menudo es agresiva y está mal regulada. Un actor malintencionado que utiliza un dominio de publicidad fraudulento está redirigiendo a estos visitantes del sitio de acuerdo con su geolocalización y procedencia a al menos dos kits de exploits diferentes (Fallout EK y GrandSoft EK), aunque el primero es el más activo.

Los ladrones como AZORult parecen ser la carga útil favorita aquí, pero también notamos que Arkei / Vidar era bastante común. En este caso particular, vimos a Vidar siendo empujado a través del kit de explotación de Fallout.

Vidar

Cabe señalar que Vidar se vende como un producto, y como tal puede ser distribuido por diferentes grupos de amenazas a través de diferentes campañas.

Los clientes de Vidar pueden personalizar el ladrón a través de perfiles, lo que les permite ajustar el tipo de datos que les interesan. Además de los números de tarjetas de crédito habituales y otras contraseñas almacenadas en las aplicaciones, Vidar también puede raspar una impresionante selección de carteras digitales.

Tras la ejecución en el sistema, Vidar buscará los datos especificados en su configuración de perfil y los enviará de inmediato al servidor C2 a través de una solicitud POST de HTTP sin cifrar.

Esto incluye detalles del sistema de alto nivel (especificaciones, procesos en ejecución y aplicaciones instaladas) y estadísticas sobre la víctima (dirección IP, país, ciudad e ISP) almacenadas en un archivo llamado  information.txt . Este archivo se empaqueta junto con otros datos robados y se comprime antes de enviarlo de vuelta al servidor C2.

GandCrab como cargador

Vidar también ofrece descargar malware adicional a través de su servidor de comando y control. Esto se conoce como la función del cargador y, nuevamente, se puede configurar dentro del panel de administración de Vidar agregando una URL directa a la carga útil. Sin embargo, no todas las instancias de Vidar (vinculadas a una ID de perfil) descargarán una carga útil adicional. En ese caso, el servidor enviará una respuesta de “ok” en lugar de una URL.

HTTP / 1.1 200 OK
Fecha: 
Tipo de contenido: texto / html; conjunto de caracteres = UTF-8
Conexión: mantener vivo
Servidor: Pro-Managed
Contenido-Longitud: 51

http: //ovz1.fl1nt1kk.10301.vps.myjino [.] ru / topup.exe;

Aproximadamente un minuto después de la infección inicial con Vidar, los archivos de la víctima se cifrarán y su fondo de pantalla se secuestrará para mostrar la nota de GandCrab versión 5.04.

Ransomware como última carga útil

Si bien el ransomware experimentó una desaceleración en 2018, sigue siendo una de las amenazas más peligrosas. En contraste con muchos otros tipos de malware, el ransomware es visible al instante y requiere una llamada a la acción, ya sea que las víctimas decidan pagar el rescate o no.

Sin embargo, los actores de amenazas pueden usar ransomware por una variedad de razones dentro de su libro de jugadas. Podría ser, por ejemplo, un simple señuelo donde el objetivo real es corromper irreversiblemente los sistemas sin ninguna forma de recuperar datos perdidos. Pero como vemos aquí, se puede combinar con otras amenazas y utilizar como una última carga útil cuando ya se han agotado otros recursos.

Como resultado, las víctimas reciben un doble golpe. No solo se les roba su información financiera y personal, sino que también se les está extorsionando para recuperar los datos ahora encriptados.

Los usuarios de Malwarebytes están protegidos contra esta amenaza en múltiples niveles. Nuestro motor anti-exploit sin signo mitiga los exploits de Internet Explorer y Flash Player entregados por el kit de exploits Fallout. Detectamos al ladrón abandonado como Spyware.Vidar y también frustramos GandCrab a través de nuestro módulo anti-ransomware.

El nuevo panorama de malware móvil preinstalado: código malicioso

El nuevo panorama de malware móvil preinstalado: código malicioso dentro de

El nuevo panorama de malware móvil preinstalado: código malicioso 

Publicado: 2 de enero de 2019 por 

Este es un pensamiento aterrador: los dispositivos móviles pronto pueden venir con malware preinstalado en las aplicaciones del sistema requeridas. Si bien puede sonar como una sombría predicción, el malware móvil preinstalado es una realidad desafortunada del futuro.

En el pasado, hemos visto malware preinstalado con la notoria  amenaza Adups , entre otros . “Preinstalado” significa que el malware ya está instalado en un dispositivo a nivel del sistema, por lo tanto, no se puede eliminar; Sólo discapacitados. Sin embargo, la remediación de estas iteraciones de malware preinstalado es posible mediante el uso de una solución alternativa para desinstalar aplicaciones para el usuario actual. Este método implica conectar el dispositivo móvil a una PC y usar la herramienta de línea de comandos ADB Siga nuestra guía, instrucciones de eliminación para Adups , para obtener más información.

Aunque este método es un poco tedioso, funciona para remediar el malware. En contraste, la remediación de nuevas versiones de malware preinstalado se ha vuelto mucho más difícil. Ahora estamos viendo que los autores de malware se dirigen a las aplicaciones del sistema que se requieren para que el dispositivo funcione correctamente. Al inyectar código malicioso dentro de estas aplicaciones necesarias, los actores de amenazas han cambiado el panorama del malware preinstalado para peor.

Tipos de aplicaciones preinstaladas

Hay dos tipos de aplicaciones preinstaladas, según la ubicación de las aplicaciones en el dispositivo. Esta ubicación también determina la importancia de la aplicación.

La primera ubicación es / system / app /.  Las aplicaciones en esta ubicación suelen ser algo que usted desea tener, pero no es crítico para que el dispositivo se ejecute. Por ejemplo, las aplicaciones que contienen funcionalmente para la cámara, Bluetooth, radio FM en el dispositivo o visualización de fotos se almacenan en esta ubicación. Esta ubicación es también donde el dispositivo fabrica caché lo que algunos pueden considerar bloatware . Desinstalar algunas de estas aplicaciones puede degradar la experiencia del usuario, pero no impedirá que el dispositivo funcione.

La otra ubicación es / system / priv-app /. Aquí es donde residen las aplicaciones significativamente importantes. Por ejemplo, las aplicaciones como la configuración y la IU del sistema, que incluyen la funcionalidad de los botones de retroceso / inicio en los dispositivos Android, se almacenan aquí. En otras palabras, las aplicaciones no pueden desinstalarlas sin romper el teléfono. Lamentablemente, el último malware preinstalado se dirige a esta ubicación.

La evidencia

A la luz de este nuevo malware aterrador y preinstalado, veamos dos casos de estudio.

Estudio de caso 1: instalador automático de Riskware dentro de la interfaz de usuario del sistema

El dispositivo es un THL T9 Pro. La infección es Android / PUP.Riskware.Autoins.Fota.INS . Aunque el código parece similar al malware Adups preinstalado conocido, está enredado dentro de la interfaz de usuario de sistema crítica del sistema, en lugar de estar en una aplicación independiente como un UpgradeSys. La infección causa dolores de cabeza, ya que instala repetidamente variantes de Android / Trojan.HiddenAds . No se sabe si esto es lo que hacen los Adups, o, por otro lado, si el código se tomó del Instalador Automático de Adups y se insertó en la interfaz de usuario del sistema. Ninguno de los dos escenarios es bueno.

Estudio de caso 2: Monitor dentro de la configuración

Esta vez, el dispositivo es un UTOK Q55. La infección es Android / Monitor.Pipe.Settings . La categoría “Monitor” es un subconjunto de programas potencialmente no deseados (PUP) . Como su nombre lo indica, las aplicaciones de Monitor recopilan e informan información confidencial del dispositivo. Además, esta aplicación de Monitor en particular está codificada en la importante aplicación de Configuración. En efecto, la aplicación utilizada para desinstalar otras aplicaciones tendría que ser desinstalada por sí misma para remediarla: pura ironía.

Intentando remediar

Aquí radica el mayor problema con estas infecciones: actualmente no existe una buena manera de remediarlas. He trabajado con varios clientes con estas infecciones, pero a pesar de mis intentos, todavía tengo que encontrar un buen trabajo. Sin embargo, puedo ofrecer alguna orientación. Si se puede encontrar una versión limpia de la aplicación del sistema para reemplazar la versión maliciosa, es posible que pueda reemplazarla. Querrá buscar aplicaciones del sistema que coincidan con la versión actual del sistema operativo Android del dispositivo. Si lo encuentra, puede intentar usar el siguiente método:

  • Lea la exención de responsabilidad de las  instrucciones de eliminación de Adups .
  • Siga los pasos en Restauración de aplicaciones en el dispositivo (sin restablecimiento de fábrica) en las instrucciones de eliminación de Adups para guardar la <ruta completa de la apk> correcta de la aplicación del sistema que se reemplazará.
  • Descargue una versión limpia de la aplicación del sistema a su PC.
    • Puede usar el popular sitio VirusTotal  para determinar si está limpio o no.
  • Mueva la aplicación del sistema desde su PC a su dispositivo.
    • adb push <ruta del archivo de PC> \ <nombre de archivo de clean version.apk> / sdcard / Download / <nombre de archivo de clean version.apk>
  • Desinstale la versión antigua y maliciosa de la aplicación del sistema.
    • adb shell pm uninstall -k –user 0 <nombre del paquete de la aplicación del sistema malicioso>
  • Instala la nueva versión de la aplicación del sistema.
    • adb shell pm install -r –user 0 / sdcard / Download / <nombre de archivo de versión limpia.apk>
  • A ver si funciona.
    • Errores comunes de falla  :
      • [INSTALL_FAILED_VERSION_DOWNGRADE]
      • [INSTALL_FAILED_UPDATE_INCOMPATIBLE]
      • [INSTALL_FAILED_OLDER_SDK]
    • Si la nueva versión no se instala, puede volver a la aplicación del sistema anterior.
      • adb shell pm install -r –user 0 <ruta completa de la apk guardada en el segundo paso>

Como se indicó anteriormente, todavía tengo que encontrar una versión de cualquiera de las infecciones encontradas que se instalen con éxito. Si necesita asistencia, no dude en publicar en nuestro foro Ayuda y soporte de eliminación de malware para dispositivos móviles .

¿Qué se puede hacer realmente?

Actualmente, el mejor método para tratar estas infecciones es:

  1. Manténgase alejado de los dispositivos con estas infecciones. Aquí están los fabricantes / modelos que hemos visto hasta ahora que han sido afectados:
    • THL T9 Pro
    • UTOK Q55
    • BLU Studio G2 HD
  2. Si ya has comprado uno, devuelve el dispositivo.
  3. Si ya compró el dispositivo y no puede devolverlo, póngase en contacto con el fabricante.

Frustración extrema

Como investigador de malware para dispositivos móviles, no me duele en absoluto escribir sobre el malware que actualmente no podemos remediar. Sin embargo, el público necesita saber que este tipo de infecciones existen en la naturaleza. Nadie debería tener que tolerar tales infecciones en ningún dispositivo móvil, independientemente de su precio y / o notoriedad. Seguiré buscando métodos para tratar estas infecciones. Mientras tanto, mantente a salvo allí.

Muestras de APK

Detección: Android / PUP.Riskware.Autoins.Fota.INS 
MD5: 9E0BBF6D26B843FB8FE95FDAD582BB70 
Nombre del paquete: com.android.systemui

Detección: Android / Monitor.Pipe.Settings 
MD5: DC267F396FA6F06FC7F70CFE845B39D7 
Nombre del paquete: com.android.settings

2018: El año del tsunami de violación de datos.

2018: El año del tsunami de violación de datos.

2018: El año del tsunami de violación de datos.

Publicado: 28 de diciembre de 2018 por 
Última actualización: 27 de diciembre de 2018

Es difícil recordar todas las brechas de datos que ocurrieron en 2018. Pero cuando observa las más grandes e impactantes de todo el año, presenta un panorama sombrío sobre el estado actual de la seguridad de los datos.

Las consecuencias de las grandes empresas que filtran datos confidenciales son muchas. Para los consumidores, representa una pérdida de privacidad, un posible robo de identidad e innumerables horas de reparación del daño a los dispositivos. Y también es costoso para las empresas, en forma de mala prensa y el daño resultante a su reputación, así como el tiempo y el dinero gastados para remediar la violación y garantizar que los datos de los clientes estén bien protegidos en el futuro.

Pero a pesar de los costos conocidos de las violaciones de datos, el problema de los datos con fugas no está mejorando. Si bien hubo un mayor número de brechas en 2017 , 2018 vio brechas en una escala más masiva y de jugadores de marquesina, como Facebook, Under Armour, Quora y Panera Bread. Los delincuentes cibernéticos robaron información confidencial de identificación personal (PII) de los usuarios, incluidos correos electrónicos y direcciones físicas, contraseñas, números de tarjetas de crédito, números de teléfono, itinerarios de viaje, datos de pasaportes y más.

Usted pensaría que estos problemas harían que las empresas sean más diligentes en el descubrimiento de violaciones de datos, pero eso no parece ser el caso. En realidad, las empresas rara vez descubren violaciones de datos por sí mismas. Según Risk Based Security, solo el 13 por ciento de las violaciones de datos se descubren internamente.

Para ayudar a las personas a comprender mejor el problema moderno de las violaciones de datos, TruthFinder creó esta infografía . Aclara el alcance de la crisis utilizando estadísticas del Centro de amenazas de robo de identidad y Experian. Eche un vistazo a la infografía a continuación para tener una idea de por qué 2018 fue el año del tsunami de violación de datos.

Violacíon de datos

Usando el blockchain para crear copias de seguridad seguras

Usando el blockchain para crear copias de seguridad seguras

Usando el blockchain para crear copias de seguridad seguras

Publicado: 27 de diciembre de 2018 por 

“¡Oh no! Tengo un aviso de ransomware en mi estación de trabajo. ¿Cómo pasó esto?”

“Vamos a resolver eso más tarde. Primero, aplique la copia de seguridad desde hace unos minutos, para que podamos continuar trabajando “.

Ahora eso no fue tan doloroso, ¿verdad? Tener una solución de reversión o una copia de seguridad reciente podría hacer que este escenario ideal de infección de ransomware sea posible. Pero, ¿qué tecnología podría hacer que esto funcione? ¿Y es posible hoy?

Como hemos señalado anteriormente, la tecnología blockchain no es solo para las criptomonedas . De hecho, algunos proveedores ya están ofreciendo el uso de la cadena de bloques para crear copias de seguridad recientes y seguras.

Copias de seguridad

Con el ransomware aún una de las amenazas más frecuentes, tener copias de seguridad es una de las estrategias más recomendadas para evitar el pago de un rescate. Pagar rescates no solo alimenta la industria del ransomware, es probable que se vuelva ilegal en algunos estados y países.

Para que las copias de seguridad sean lo más efectivas posible:

  • Necesitan ser recientes.
  • No deben destruirse en el mismo accidente o incidente que los originales.
  • Deben estar protegidos contra la manipulación y el robo.
  • Deben ser fáciles de implementar.

Para lograr estos objetivos, crear copias de seguridad en varias ubicaciones, en diferentes medios, y cifrarlas si es necesario, es una gran ayuda. Esta es exactamente la razón por la que usar la tecnología blockchain tiene sentido.

Blockchain

Un recordatorio rápido sobre cómo funciona blockchain . Blockchain es un sistema descentralizado que puede realizar un seguimiento de los cambios en forma de una base de datos distribuida que mantiene una lista de transacciones en continuo crecimiento. Cada cambio en el bloque da como resultado un valor hash diferente. Esto brinda la oportunidad de agregar una firma digital a cada conjunto de datos. Por lo tanto, lo ideal es que pueda estar seguro de que la copia de seguridad que está a punto de implementar es reciente y no ha sido manipulada por manos no autorizadas.

Como deberia funcionar

La tecnología blockchain es una contabilidad descentralizada. Cada transacción guarda una copia idéntica de la anterior. La autenticidad de las copias puede ser confirmada por cualquiera de los nodos. Los nodos son los “trabajadores” que calculan un hash válido para el siguiente bloque en la cadena de bloques.

Esto significa que si el primer bloque contendría una copia cifrada de todos los archivos que usa hoy, cada bloque siguiente incluiría una copia de ese conjunto más todos los cambios realizados antes del siguiente hash que fue aceptado por la red de nodos. . Y cada bloque siguiente contendría toda la información en el anterior más todos los cambios desde entonces.

Dado que cada nodo tiene acceso a la lista de cambios, esto hace que el proceso sea completamente transparente. Cada transacción se registra y la adición de una huella dactilar endurece el proceso contra la manipulación. La arquitectura de la cadena de bloques hace que sea imposible manipular o cambiar el resultado, y se necesita el consenso de los nodos para crear una “bifurcación” legal.

“Bifurcación” es el término usado para describir la situación donde existen dos o más cadenas de bloques válidas. O mejor dicho, donde dos bloques de la misma altura, o con el mismo número de bloque en el siguiente orden, existen al mismo tiempo. En una situación normal, la mayoría decide por un bloque como la base para el resto de la cadena y se abandona la otra horquilla. A veces, las horquillas se usan con el propósito de separar una cadena para un cambio en el protocolo. Estos son llamados “tenedores duros”.

Posibles características adicionales

Marcas de tiempo:  un método de copia de seguridad que utiliza este tipo de tecnología de cadena de bloques también se puede utilizar como prueba legal de que un documento no se ha modificado desde el momento en que se incluyó en las copias de seguridad.

Historial de cambios:  También se puede utilizar un método similar para realizar un seguimiento de los cambios autorizados que se realizaron en un documento y registrar cuándo se produjeron y quién los realizó.

Escollos

Las empresas que buscan implementar la tecnología blockchain para crear copias de seguridad seguras deben tener en cuenta algunas dificultades, especialmente si pretenden limitar la cantidad de nodos para mantenerlos dentro de la empresa.

Las redes pequeñas son vulnerables a los ataques de la mayoría. La tecnología blockchain se construye para que la mayoría decida. Y si puede encontrar una manera de proporcionar más de la mitad de la potencia informática activa en la red, puede crear su propia bifurcación falsa. En las criptomonedas, un ataque de este tipo puede permitir el doble gasto, lo que deja a uno de los receptores en el frío. Algunas criptomonedas como Bitcoin Gold (BTG) han descubierto de la manera más difícil que pueden funcionar los llamados ataques del 51 por ciento. Costó intercambios varios millones de dólares.

Otro posible problema para mantener pequeño el número de nodos es el ataque de Sybil. Un ataque de Sybil ocurre cuando un nodo en una red usa múltiples identidades. Este es un procedimiento que puede permitir que un atacante supere los nodos honestos controlando o creando una mayoría. Cuando un ataque del 51 por ciento se basaría únicamente en la potencia de cálculo, algunas redes utilizan un factor llamado “reputación” como un factor de ponderación adicional para la influencia de los nodos.

Ataque de sibila

Su nodo controla los nodos de Sybil que intentan obtener el control total. Imagen cortesía de CoinCentral .

El comportamiento del usuario es siempre una preocupación. Puede crear el sistema de respaldo más seguro, pero un empleado descontento podría frustrar todo el esfuerzo. Y los expertos no tienen que tener malos motivos para corromper el sistema. Pueden hacerlo por ignorancia o con las mejores intenciones. Es posible que quieran barrer algo debajo de la alfombra y eliminar o corromper sin saberlo más de lo que esperaban.

Los archivos eliminados pueden ser un problema en algunas configuraciones. Esto es algo a tener en cuenta. Tener el hash del archivo eliminado y la fecha en que se eliminó puede no ser siempre satisfactorio. Incluso si sabe cuándo y por quién se eliminó un archivo, eso no lo devolverá. Dependiendo de la forma en que esté configurado el sistema de copia de seguridad, esto puede resolverse con algunas excavaciones en las copias de seguridad antiguas, o pueden perderse para siempre.

El problema subyacente para esto es: ¿Desea que todas las versiones de cada documento estén disponibles en todo momento, o está bien tener la versión original y la más reciente con un resumen histórico de cuándo se modificó y quién lo hizo? Idealmente, debería haber algunos puntos intermedios, por ejemplo, copias de seguridad completas una vez al año y copias de seguridad incrementales realizadas por la cadena de bloques.

Redes de nodos grandes

Para evitar cualquier tipo de ataque mayoritario, las compañías pueden decidir utilizar redes más grandes y establecidas como el Proyecto Ethereum , pero esto puede chocar con políticas de no compartir ningún tipo de datos fuera de su propia red. Incluso si son solo los hashes y las marcas de tiempo del sistema de archivos, esto podría hacer que otros sepan lo que está pasando. Y los costos para los nodos que calculan los hash (los mineros) podrían resultar más costosos que las soluciones de respaldo actuales.

Entonces, ¿cuándo podemos esperar que esto suceda?

Creo que veremos más avances en este campo en un futuro próximo. La copia de seguridad incremental y el seguimiento de los cambios tiene una cadena de bloques escrita en ella. Pero una solución viable debería tener una gran red detrás. Y hay otros inconvenientes que deben tenerse en cuenta al diseñar y configurar dicho sistema de respaldo. Puede que aún no esté listo para ser su única solución, pero parece ser una solución ideal para tener copias de seguridad incrementales en una cadena de bloques combinada con copias de seguridad completas a intervalos establecidos.