Mientras las familias se reunían para la comida y la alegría en la víspera de Navidad, la mayoría de los negocios dormían. Nada se movía, ni siquiera un ratón, o eso pensaban.

Para aquellos en Tribune Publishing y Data Resolution, sin embargo, un ataque silencioso se extendió lentamente a través de sus redes, cifrando datos y deteniendo las operaciones. Y este ataque fue de una familia de ransomware bastante nueva llamada Ryuk.

Ryuk, que hizo su debut en agosto de 2018, es diferente de muchas otras familias de ransomware que analizamos, no por sus capacidades, sino por la novedosa forma en que infecta los sistemas.

Así que echemos un vistazo a esta nueva amenaza difícil de alcanzar. ¿Qué es Ryuk? ¿Qué lo hace diferente de otros ataques de ransomware? ¿Y cómo pueden las empresas detenerlo y amenazas similares en el futuro?

¿Qué es Ryuk?

Ryuk apareció por primera vez en agosto de 2018 , y aunque no es increíblemente activo en todo el mundo, al menos tres organizaciones se vieron afectadas por las infecciones de Ryuk en el transcurso de los primeros dos meses de sus operaciones, lo que llevó a los atacantes a un rescate de aproximadamente $ 640,000 por sus esfuerzos.

A pesar de una exitosa infección, el propio Ryuk posee una funcionalidad que usted vería en algunas otras familias modernas de ransomware. Esto incluye la capacidad de identificar y cifrar los recursos y unidades de red, así como eliminar las instantáneas en el punto final. Al hacer esto, los atacantes podrían deshabilitar la opción Restaurar sistema de Windows para los usuarios y, por lo tanto, imposibilitar la recuperación del ataque sin copias de seguridad externas.

Un aspecto interesante de este ransomware es que deja caer más de una nota en el sistema. La segunda nota está escrita en un tono cortés, similar a las notas lanzadas por el ransomware BitPaymer, que se suma al misterio.

Similitudes con Hermes

Los investigadores en Checkpoint ya han realizado un análisis profundo de esta amenaza, y uno de sus hallazgos fue que Ryuk comparte muchas similitudes con otra familia de ransomware: Hermes .

Dentro de Ryuk y Hermes, hay numerosos casos de segmentos de código similares o idénticos. Además, se han descubierto varias cadenas dentro de Ryuk que se refieren a Hermes, en dos casos separados.

Cuando se inicie, Ryuk primero buscará el marcador Hermes que se inserta en cada archivo cifrado. Este es un medio para identificar si el archivo o sistema ya ha sido atacado y / o encriptado.

El otro caso involucra carpetas incluidas en la lista blanca, y si bien no es tan condenatoria como la primera, el hecho de que ambas familias de ransomware incluyan en la lista blanca ciertos nombres de carpetas es otra pista de que las dos familias pueden compartir sus creadores. Por ejemplo, tanto Ryuk como Hermes ponen en la lista blanca una carpeta llamada «Ahnlab», que es el nombre de un popular software de seguridad de Corea del Sur.

Si conoce su malware, puede recordar que Hermes fue atribuido al grupo Lazarus, que está asociado con las operaciones sospechosas de los estados nacionales de Corea del Norte. Esto ha llevado a muchos analistas y periodistas a especular que Corea del Norte estaba detrás de este ataque.

No estamos tan seguros de eso.

Ataques notables

En los últimos meses se han producido múltiples ataques de Ryuk notables, principalmente en los Estados Unidos, en los que el ransomware infectó grandes cantidades de puntos finales y exigió rescates más altos de lo que normalmente vemos (15 a 50 Bitcoins).

Uno de estos ataques fue contra la Autoridad de Aguas y Alcantarillados de Onslow (OWASA) el 15 de octubre de 2018, lo que evitó que la organización pudiera usar sus computadoras por un tiempo. Si bien los servicios de agua y alcantarillado, así como los datos de los clientes, no se vieron afectados por el ataque de ransomware, aún causó un daño significativo a la red de la organización y dio lugar a la reconstrucción de numerosas bases de datos y sistemas desde cero.

Metodo de infeccion

Según Checkpoint y muchos otros analistas e investigadores, Ryuk se distribuye como una carga útil secundaria a través de botnets, como TrickBot y Emotet .

Aquí está la teoría de la ejecución: Emotet realiza la infección inicial en el punto final. Tiene sus propias capacidades para propagarse lateralmente a través de la red, así como lanzar su propia campaña malspam desde el punto final infectado, enviando malware adicional a otros usuarios en la misma red o en redes diferentes.

A partir de ahí, la carga útil más común que hemos visto caer a Emotet en los últimos seis meses ha sido TrickBot . Este malware tiene la capacidad de robar credenciales y también de moverse lateralmente por la red y propagarse de otras maneras.

Tanto TrickBot como Emotet se han utilizado como ladrones de información, descargadores e incluso gusanos según su funcionalidad más reciente.

En algún momento, por razones que exploraremos más adelante en esta publicación, TrickBot descargará y descargará Ryuk ransomware en el sistema, asumiendo que la red infectada es algo que los atacantes quieren rescatar. Como no vemos una fracción del número de detecciones de Ryuk como vemos a Emotet y TrickBot a través de la telemetría de nuestro producto, podemos suponer que no es la operación estándar predeterminada para infectar sistemas con Ryuk después de un tiempo, sino algo que Es activado por un atacante humano detrás de las escenas.

Estadísticas

Echemos un vistazo a las estadísticas de Emotet, Ryuk y TrickBot desde agosto hasta el presente y veamos si podemos identificar una tendencia.

La línea azul representa a Emotet, el troyano de información más grande de 2018. Si bien esta tabla solo nos muestra agosto en adelante, puede estar seguro de que durante gran parte del año, Emotet estuvo en el mapa. Sin embargo, a medida que navegábamos hacia el cuarto trimestre de 2018, se convirtió en un problema mucho mayor.

La línea naranja representa TrickBot. Se espera que estas detecciones sean más bajas que Emotet, ya que Emotet suele ser la carga útil primaria. Esto significa que para que TrickBot pueda detectarse, debe haber sido entregado directamente a un punto final o haber sido eliminado por una infección de Emotet que no fue detectada por el software de seguridad o implementado en un sistema sin él. Además, TrickBot no ha sido la carga útil predeterminada para Emotet durante todo el año, ya que el troyano ha intercambiado continuamente las cargas útiles, según la época del año y la oportunidad.

En base a esto, para ser golpeado con Ryuk (al menos hasta que entendamos la verdadera intención aquí), deberá tener desactivado, no instalado o no haber actualizado su software de seguridad. Deberá abstenerse de realizar exploraciones regulares para identificar TrickBot o Emotet. Necesitará tener puntos finales no parcheados o credenciales débiles para que TrickBot y Emotet se muevan lateralmente a través de la red y, finalmente, debe ser un objetivo.

Dicho esto, aunque nuestras detecciones de Ryuk son pequeñas en comparación con las otras familias en esta tabla, es probable que detectemos la infección durante una etapa anterior del ataque, y las circunstancias para un ataque de Ryuk deben ser correctas, como Goldilocks. ‘papilla. Sorprendentemente, las organizaciones han creado el entorno perfecto para que estas amenazas prosperen. Esta también puede ser la razón detrás del gran pago de rescate, ya que menos infecciones conducen a menos pagos.

Campaña de navidad

Mientras estuvo activo a principios de año, Ryuk no hizo tantos titulares como cuando lanzó su «campaña de vacaciones», o más bien los dos grupos más grandes de infecciones de Ryuk, que ocurrieron durante la Navidad.

La tabla a continuación muestra nuestras estadísticas de detección de Ryuk desde principios de diciembre hasta ahora, con los dos picos de infección observados con estrellas.

Estos picos muestran que los ataques significativos ocurrieron el 24 de diciembre y el 27 de diciembre.

Ataque de resolución de datos

El primer  ataque fue en Dataresolution.net , un proveedor de alojamiento en la nube, en la víspera de Navidad. Como puede ver desde arriba, fue la cantidad de Ryuk que detectamos en un solo día en el último mes.

Según la Resolución de datos , Ryuk pudo infectar sistemas utilizando una cuenta de inicio de sesión comprometida. Desde allí, el malware le dio a los atacantes el control del dominio del centro de datos de la organización hasta que la resolución de datos cerró toda la red.

La compañía asegura a los clientes que no se comprometió ningún dato del usuario, y la intención del ataque fue secuestrar, no robar. Aunque, saber en primer lugar cómo este malware encuentra su camino hacia un punto final es una buena señal de que probablemente hayan perdido al menos algo de información.

Tribune Publishing ataque

Nuestra segunda estrella representa el ataque del 27 de diciembre, cuando varias organizaciones de papel de periódico bajo el paraguas de Tribute Publishing (ahora o en el pasado reciente) fueron golpeadas con Ryuk ransomware, lo que deshabilitó la capacidad de estas organizaciones para imprimir sus propios papeles.

El ataque fue descubierto el jueves por la noche, cuando uno de los editores del San Diego Union-Tribune no pudo enviar las páginas completas a la imprenta. Estos problemas se han resuelto desde entonces.

Teorias

Creemos que Ryuk está infectando sistemas que utilizan Emotet y TrickBot para distribuir el ransomware. Sin embargo, lo que no está claro es por qué los criminales usarían este ransomware después de una infección ya exitosa.

En este caso, podemos tomar una página del libro de jugadas de Hermes. Fuimos testigos del uso de Hermes en Taiwán como un medio para cubrir las huellas de otra familia de malware que ya está en la red. ¿Se usa Ryuk de la misma manera?

Dado que Emotet y TrickBot no son programas maliciosos patrocinados por el estado, y generalmente se lanzan automáticamente a un conjunto de posibles víctimas (en lugar de identificar un objetivo y se lanzan manualmente), parece extraño que Ryuk se use solo en unos pocos casos Para ocultar la infección. Entonces tal vez podamos descartar esta teoría.

Una segunda teoría, más probable, es que el propósito de Ryuk es como un último esfuerzo para obtener más valor de un objetivo que ya es jugoso.

Digamos que los atacantes detrás de Emotet y TrickBot hacen que sus robots diseñen redes para identificar una organización objetivo. Si el objetivo tiene una propagación de infección suficientemente grande de Emotet / TrickBot, y / o si sus operaciones son críticas o lo suficientemente valiosas como para que la interrupción provoque una inclinación a pagar el rescate, entonces ese podría ser el objetivo perfecto para una infección de Ryuk.

La verdadera intención de usar este malware solo puede ser especulada en este punto. Sin embargo, ya sea ocultando las pistas de otros programas maliciosos o simplemente buscando formas de ganar más dinero después de robar todos los datos relevantes que puedan, las empresas deben tener cuidado de no escribir esto.

El hecho es que hay miles de infecciones activas de Emotet y TrickBot en todo el mundo en este momento. Cualquiera de las organizaciones que enfrentan estas amenazas debe tomarlas en serio, ya que un ladrón de información puede convertirse en un ransomware desagradable en cualquier momento. Esta es la verdad de nuestro panorama moderno de amenazas.

Atribución

Como se mencionó anteriormente, muchos analistas y periodistas han decidido que Corea del Norte es el atacante más probable para distribuir Ryuk. Si bien no podemos descartarlo por completo, no estamos completamente seguros de que sea correcto.

Ryuk coincide con Hermes de muchas maneras. Sobre la base de las cadenas encontradas, probablemente se construyó sobre, o es una versión modificada de Hermes. La forma en que los atacantes obtuvieron el código fuente es desconocida, sin embargo, hemos observado casos en los que los delincuentes vendían versiones de Hermes en foros de hackers.

Esto introduce otra razón potencial por la que el código fuente llegó a las manos de un actor diferente.

Identificar la atribución de este ataque en base a las similitudes entre dos familias, una de las cuales está asociada con un grupo de ataque de estado-nación conocido (Lázaro) es una falacia lógica, como lo describe Robert M. Lee en un artículo reciente, «La atribución no es Transitivo – Tribute Publishing Cyber ​​Attack como un estudio de caso «. El artículo profundiza más en los errores de atribución basados ​​en evidencia endeble. Advertimos a los lectores, periodistas y otros analistas acerca de sacar conclusiones de las correlaciones.

Proteccion

Ahora que sabemos cómo y potencialmente por qué Ryuk ataca a las empresas, ¿cómo podemos protegernos contra este malware y otros similares?

Centrémonos en tecnologías y operaciones específicas que han demostrado ser eficaces contra esta amenaza.

Tecnología anti-exploit

El uso de exploits tanto para la infección como para el movimiento lateral ha aumentado durante años. El principal método de infección para Emotet en este momento es a través de spam con documentos de Office adjuntos cargados con scripts maliciosos .

Estos scripts maliciosos son macros que, una vez que el usuario hace clic en «Habilitar contenido» (generalmente a través de algún tipo de truco de ingeniería social), lanzarán scripts adicionales para causar estragos. Lo más frecuente es que veamos scripts para JavaScript y PowerShell, y PowerShell se está convirtiendo rápidamente en el lenguaje de scripting de facto para infectar a los usuarios.

Si bien puede detener estas amenazas capacitando a los usuarios para que reconozcan los intentos de ingeniería social o use una plataforma de protección de correo electrónico que reconozca el spam malicioso, el uso  de la tecnología anti-exploit  también puede impedir que esos scripts maliciosos intenten instalar malware en el sistema.

Además, el uso de tecnologías de protección, como el  anti-ransomware, agrega inmensas cantidades de protección contra las infecciones de ransomware, deteniéndolos antes de que puedan causar daños graves.

Escaneos regulares y actualizados de malware

Esta es una regla general que se ha ignorado las veces suficientes como para que valga la pena mencionarla aquí. Para tener soluciones de seguridad efectivas, deben usarse  y actualizarse con frecuencia para que puedan reconocer y bloquear las amenazas más recientes.

En un caso, el equipo de TI de una organización ni siquiera sabía que estaban mal con las infecciones de Emotet hasta que habían actualizado su software de seguridad . Tenían una confianza falsa en una solución de seguridad que no estaba completamente armada con las herramientas para detener las amenazas. Y debido a eso, tenían un serio problema en sus manos.

 

Segmentacion de red

Esta es una táctica que hemos estado recomendando durante años, especialmente cuando se trata de proteger contra el ransomware. Para asegurarse de no perder sus unidades y recursos asignados o conectados en red si se infecta un solo punto final, es una buena idea segmentar el acceso a ciertos servidores  y archivos.

Hay dos formas de segmentar su red y reducir el daño de un ataque de ransomware. Primero, restrinja el acceso a ciertas unidades asignadas según los requisitos del rol. En segundo lugar, use un sistema independiente o de terceros para almacenar archivos y carpetas compartidos, como Box o Dropbox.

Amenazas en desarrollo

Este último año ha traído algunos enfoques novedosos para causar interrupciones y devastación en el lugar de trabajo. Si bien el ransomware fue el malware más letal para las empresas en 2017, 2018 y más allá, nos brindan múltiples malware implementados en una única cadena de ataques.

Además, familias como Emotet y TrickBot continúan evolucionando sus tácticas, técnicas y capacidades, haciéndolas más peligrosas con cada nueva generación. Si bien hoy, podemos estar preocupados por la caída de Ryuk por parte de Emotet, mañana, Emotet podría simplemente actuar como un ransomware. Depende de las empresas y los profesionales de la seguridad mantenerse al tanto de las amenazas emergentes, por pequeñas que sean, ya que a menudo señalan un cambio en la forma de las cosas por venir.

Gracias por leer y navegar con seguridad!

Hemos estado rastreando una prolífica campaña de publicidad maliciosa durante varias semanas y hemos capturado una variedad de cargas útiles, incluidos varios ladrones. Uno que inicialmente identificamos como Arkei resultó ser Vidar, una nueva pieza de malware recientemente analizada en detalle por Fumik0_  en su publicación:  Vamos a profundizar en Vidar: un Arkei Copycat / Forked Stealer (análisis en profundidad) .

En la mitología nórdica,  Víðarr  es un dios e hijo de Odín , cuya muerte se predice que se vengará. Ser referido como «El Silencioso» parece ser adecuado para este ladrón que puede saquear desde los historiales del navegador (incluido el Navegador Tor) y las carteras de criptomoneda, capturar mensajes instantáneos y mucho más.

Fuimos testigos de un actor de amenazas que usaba el kit de exploits Fallout para distribuir Vidar. Pero las víctimas no lo notarán tanto, ya que la carga útil secundaria y más ruidosa que se está empujando es el ransomware GandCrab.

Visión general

Una cadena de publicidad maliciosa nos lleva al kit de explotación de Fallout seguido de lo que pensamos que era un ladrón de Arkei. En una mirada más cercana, mientras que la muestra compartía muchas similitudes con Arkei (incluidos los eventos de la red), en realidad era una pieza de malware más nueva y, en ese momento, aún no descrita públicamente ahora identificada como Vidar.

Más allá de las capacidades del ladrón de Vidar, también notamos una carga útil secundaria que se recuperó del propio servidor de comando y control (C2) de Vidar. La línea de tiempo de la infección mostró que las víctimas se infectaron primero con Vidar, que intentó extraer información confidencial, antes de que finalmente se comprometiera con el ransomware GandCrab.

Malvertising y el kit de exploits de Fallout.

Los sitios de torrent y video streaming generan mucho tráfico, y su publicidad a menudo es agresiva y está mal regulada. Un actor malintencionado que utiliza un dominio de publicidad fraudulento está redirigiendo a estos visitantes del sitio de acuerdo con su geolocalización y procedencia a al menos dos kits de exploits diferentes (Fallout EK y GrandSoft EK), aunque el primero es el más activo.

Los ladrones como AZORult parecen ser la carga útil favorita aquí, pero también notamos que Arkei / Vidar era bastante común. En este caso particular, vimos a Vidar siendo empujado a través del kit de explotación de Fallout.

Vidar

Cabe señalar que Vidar se vende como un producto, y como tal puede ser distribuido por diferentes grupos de amenazas a través de diferentes campañas.

Los clientes de Vidar pueden personalizar el ladrón a través de perfiles, lo que les permite ajustar el tipo de datos que les interesan. Además de los números de tarjetas de crédito habituales y otras contraseñas almacenadas en las aplicaciones, Vidar también puede raspar una impresionante selección de carteras digitales.

Tras la ejecución en el sistema, Vidar buscará los datos especificados en su configuración de perfil y los enviará de inmediato al servidor C2 a través de una solicitud POST de HTTP sin cifrar.

Esto incluye detalles del sistema de alto nivel (especificaciones, procesos en ejecución y aplicaciones instaladas) y estadísticas sobre la víctima (dirección IP, país, ciudad e ISP) almacenadas en un archivo llamado  information.txt . Este archivo se empaqueta junto con otros datos robados y se comprime antes de enviarlo de vuelta al servidor C2.

GandCrab como cargador

Vidar también ofrece descargar malware adicional a través de su servidor de comando y control. Esto se conoce como la función del cargador y, nuevamente, se puede configurar dentro del panel de administración de Vidar agregando una URL directa a la carga útil. Sin embargo, no todas las instancias de Vidar (vinculadas a una ID de perfil) descargarán una carga útil adicional. En ese caso, el servidor enviará una respuesta de «ok» en lugar de una URL.

HTTP / 1.1 200 OK
Fecha: 
Tipo de contenido: texto / html; conjunto de caracteres = UTF-8
Conexión: mantener vivo
Servidor: Pro-Managed
Contenido-Longitud: 51

http: //ovz1.fl1nt1kk.10301.vps.myjino [.] ru / topup.exe;

Aproximadamente un minuto después de la infección inicial con Vidar, los archivos de la víctima se cifrarán y su fondo de pantalla se secuestrará para mostrar la nota de GandCrab versión 5.04.

Ransomware como última carga útil

Si bien el ransomware experimentó una desaceleración en 2018, sigue siendo una de las amenazas más peligrosas. En contraste con muchos otros tipos de malware, el ransomware es visible al instante y requiere una llamada a la acción, ya sea que las víctimas decidan pagar el rescate o no.

Sin embargo, los actores de amenazas pueden usar ransomware por una variedad de razones dentro de su libro de jugadas. Podría ser, por ejemplo, un simple señuelo donde el objetivo real es corromper irreversiblemente los sistemas sin ninguna forma de recuperar datos perdidos. Pero como vemos aquí, se puede combinar con otras amenazas y utilizar como una última carga útil cuando ya se han agotado otros recursos.

Como resultado, las víctimas reciben un doble golpe. No solo se les roba su información financiera y personal, sino que también se les está extorsionando para recuperar los datos ahora encriptados.

Los usuarios de Malwarebytes están protegidos contra esta amenaza en múltiples niveles. Nuestro motor anti-exploit sin signo mitiga los exploits de Internet Explorer y Flash Player entregados por el kit de exploits Fallout. Detectamos al ladrón abandonado como Spyware.Vidar y también frustramos GandCrab a través de nuestro módulo anti-ransomware.

Es difícil recordar todas las brechas de datos que ocurrieron en 2018. Pero cuando observa las más grandes e impactantes de todo el año, presenta un panorama sombrío sobre el estado actual de la seguridad de los datos.

Las consecuencias de las grandes empresas que filtran datos confidenciales son muchas. Para los consumidores, representa una pérdida de privacidad, un posible robo de identidad e innumerables horas de reparación del daño a los dispositivos. Y también es costoso para las empresas, en forma de mala prensa y el daño resultante a su reputación, así como el tiempo y el dinero gastados para remediar la violación y garantizar que los datos de los clientes estén bien protegidos en el futuro.

Pero a pesar de los costos conocidos de las violaciones de datos, el problema de los datos con fugas no está mejorando. Si bien hubo un mayor número de brechas en 2017 , 2018 vio brechas en una escala más masiva y de jugadores de marquesina, como Facebook, Under Armour, Quora y Panera Bread. Los delincuentes cibernéticos robaron información confidencial de identificación personal (PII) de los usuarios, incluidos correos electrónicos y direcciones físicas, contraseñas, números de tarjetas de crédito, números de teléfono, itinerarios de viaje, datos de pasaportes y más.

Usted pensaría que estos problemas harían que las empresas sean más diligentes en el descubrimiento de violaciones de datos, pero eso no parece ser el caso. En realidad, las empresas rara vez descubren violaciones de datos por sí mismas. Según Risk Based Security, solo el 13 por ciento de las violaciones de datos se descubren internamente.

Para ayudar a las personas a comprender mejor el problema moderno de las violaciones de datos, TruthFinder creó esta infografía . Aclara el alcance de la crisis utilizando estadísticas del Centro de amenazas de robo de identidad y Experian. Eche un vistazo a la infografía a continuación para tener una idea de por qué 2018 fue el año del tsunami de violación de datos.

«¡Oh no! Tengo un aviso de ransomware en mi estación de trabajo. ¿Cómo pasó esto?»

«Vamos a resolver eso más tarde. Primero, aplique la copia de seguridad desde hace unos minutos, para que podamos continuar trabajando «.

Ahora eso no fue tan doloroso, ¿verdad? Tener una solución de reversión o una copia de seguridad reciente podría hacer que este escenario ideal de infección de ransomware sea posible. Pero, ¿qué tecnología podría hacer que esto funcione? ¿Y es posible hoy?

Como hemos señalado anteriormente, la tecnología blockchain no es solo para las criptomonedas . De hecho, algunos proveedores ya están ofreciendo el uso de la cadena de bloques para crear copias de seguridad recientes y seguras.

Copias de seguridad

Con el ransomware aún una de las amenazas más frecuentes, tener copias de seguridad es una de las estrategias más recomendadas para evitar el pago de un rescate. Pagar rescates no solo alimenta la industria del ransomware, es probable que se vuelva ilegal en algunos estados y países.

Para que las copias de seguridad sean lo más efectivas posible:

• Necesitan ser recientes.
• No deben destruirse en el mismo accidente o incidente que los originales.
• Deben estar protegidos contra la manipulación y el robo.
• Deben ser fáciles de implementar.

Para lograr estos objetivos, crear copias de seguridad en varias ubicaciones, en diferentes medios, y cifrarlas si es necesario, es una gran ayuda. Esta es exactamente la razón por la que usar la tecnología blockchain tiene sentido.

Blockchain

Un recordatorio rápido sobre cómo funciona blockchain . Blockchain es un sistema descentralizado que puede realizar un seguimiento de los cambios en forma de una base de datos distribuida que mantiene una lista de transacciones en continuo crecimiento. Cada cambio en el bloque da como resultado un valor hash diferente. Esto brinda la oportunidad de agregar una firma digital a cada conjunto de datos. Por lo tanto, lo ideal es que pueda estar seguro de que la copia de seguridad que está a punto de implementar es reciente y no ha sido manipulada por manos no autorizadas.

Como deberia funcionar

La tecnología blockchain es una contabilidad descentralizada. Cada transacción guarda una copia idéntica de la anterior. La autenticidad de las copias puede ser confirmada por cualquiera de los nodos. Los nodos son los «trabajadores» que calculan un hash válido para el siguiente bloque en la cadena de bloques.

Esto significa que si el primer bloque contendría una copia cifrada de todos los archivos que usa hoy, cada bloque siguiente incluiría una copia de ese conjunto más todos los cambios realizados antes del siguiente hash que fue aceptado por la red de nodos. . Y cada bloque siguiente contendría toda la información en el anterior más todos los cambios desde entonces.

Dado que cada nodo tiene acceso a la lista de cambios, esto hace que el proceso sea completamente transparente. Cada transacción se registra y la adición de una huella dactilar endurece el proceso contra la manipulación. La arquitectura de la cadena de bloques hace que sea imposible manipular o cambiar el resultado, y se necesita el consenso de los nodos para crear una «bifurcación» legal.

«Bifurcación» es el término usado para describir la situación donde existen dos o más cadenas de bloques válidas. O mejor dicho, donde dos bloques de la misma altura, o con el mismo número de bloque en el siguiente orden, existen al mismo tiempo. En una situación normal, la mayoría decide por un bloque como la base para el resto de la cadena y se abandona la otra horquilla. A veces, las horquillas se usan con el propósito de separar una cadena para un cambio en el protocolo. Estos son llamados «tenedores duros».

Posibles características adicionales

Marcas de tiempo:  un método de copia de seguridad que utiliza este tipo de tecnología de cadena de bloques también se puede utilizar como prueba legal de que un documento no se ha modificado desde el momento en que se incluyó en las copias de seguridad.

Historial de cambios:  También se puede utilizar un método similar para realizar un seguimiento de los cambios autorizados que se realizaron en un documento y registrar cuándo se produjeron y quién los realizó.

Escollos

Las empresas que buscan implementar la tecnología blockchain para crear copias de seguridad seguras deben tener en cuenta algunas dificultades, especialmente si pretenden limitar la cantidad de nodos para mantenerlos dentro de la empresa.

Las redes pequeñas son vulnerables a los ataques de la mayoría. La tecnología blockchain se construye para que la mayoría decida. Y si puede encontrar una manera de proporcionar más de la mitad de la potencia informática activa en la red, puede crear su propia bifurcación falsa. En las criptomonedas, un ataque de este tipo puede permitir el doble gasto, lo que deja a uno de los receptores en el frío. Algunas criptomonedas como Bitcoin Gold (BTG) han descubierto de la manera más difícil que pueden funcionar los llamados ataques del 51 por ciento. Costó intercambios varios millones de dólares.

Otro posible problema para mantener pequeño el número de nodos es el ataque de Sybil. Un ataque de Sybil ocurre cuando un nodo en una red usa múltiples identidades. Este es un procedimiento que puede permitir que un atacante supere los nodos honestos controlando o creando una mayoría. Cuando un ataque del 51 por ciento se basaría únicamente en la potencia de cálculo, algunas redes utilizan un factor llamado «reputación» como un factor de ponderación adicional para la influencia de los nodos.

Su nodo controla los nodos de Sybil que intentan obtener el control total. Imagen cortesía de CoinCentral .

El comportamiento del usuario es siempre una preocupación. Puede crear el sistema de respaldo más seguro, pero un empleado descontento podría frustrar todo el esfuerzo. Y los expertos no tienen que tener malos motivos para corromper el sistema. Pueden hacerlo por ignorancia o con las mejores intenciones. Es posible que quieran barrer algo debajo de la alfombra y eliminar o corromper sin saberlo más de lo que esperaban.

Los archivos eliminados pueden ser un problema en algunas configuraciones. Esto es algo a tener en cuenta. Tener el hash del archivo eliminado y la fecha en que se eliminó puede no ser siempre satisfactorio. Incluso si sabe cuándo y por quién se eliminó un archivo, eso no lo devolverá. Dependiendo de la forma en que esté configurado el sistema de copia de seguridad, esto puede resolverse con algunas excavaciones en las copias de seguridad antiguas, o pueden perderse para siempre.

El problema subyacente para esto es: ¿Desea que todas las versiones de cada documento estén disponibles en todo momento, o está bien tener la versión original y la más reciente con un resumen histórico de cuándo se modificó y quién lo hizo? Idealmente, debería haber algunos puntos intermedios, por ejemplo, copias de seguridad completas una vez al año y copias de seguridad incrementales realizadas por la cadena de bloques.

Redes de nodos grandes

Para evitar cualquier tipo de ataque mayoritario, las compañías pueden decidir utilizar redes más grandes y establecidas como el Proyecto Ethereum , pero esto puede chocar con políticas de no compartir ningún tipo de datos fuera de su propia red. Incluso si son solo los hashes y las marcas de tiempo del sistema de archivos, esto podría hacer que otros sepan lo que está pasando. Y los costos para los nodos que calculan los hash (los mineros) podrían resultar más costosos que las soluciones de respaldo actuales.

Entonces, ¿cuándo podemos esperar que esto suceda?

Creo que veremos más avances en este campo en un futuro próximo. La copia de seguridad incremental y el seguimiento de los cambios tiene una cadena de bloques escrita en ella. Pero una solución viable debería tener una gran red detrás. Y hay otros inconvenientes que deben tenerse en cuenta al diseñar y configurar dicho sistema de respaldo. Puede que aún no esté listo para ser su única solución, pero parece ser una solución ideal para tener copias de seguridad incrementales en una cadena de bloques combinada con copias de seguridad completas a intervalos establecidos.

La semana pasada, en Labs, consideramos el sistema operativo Fuchsia como una posible alternativa para Android , explicamos todas las razones por las que los cibercriminales quieren piratear su teléfono , discutieron una  falla en el formulario de Twitter que puede haber sido abusada por los estados del país , le dieron un  resumen de estafas tecnológicas de Navidad , reveló por qué muchos  cuestionarios en línea califican como estafas de suplantación de identidad (phishing) , ofreció algunos consejos sobre el uso seguro de los altavoces inteligentes que obtuvo para Navidad , señaló que  el kit de explotación Underminer mejoró su última versión y recordó a todos que los  Chromebooks pueden infectarse .

Otras noticias de ciberseguridad.

• Los piratas informáticos de PewDiePie vuelven a atacar: los piratas informáticos afirmaron que lanzaron otro ataque que engañó a cientos de miles de impresoras de todo el mundo para imprimir folletos que promocionaban a la celebridad de YouTube » PewDiePie «. (Fuente: ThreatPost)
• La violación de Equifax fue totalmente prevenible: el personal de la mayoría republicana del Comité de Supervisión y Reforma Gubernamental de la Cámara de Representantes de los Estados Unidos dice que el ataque de piratería y la subsiguiente violación de datos sufrida por la agencia de informes crediticios Equifax en 2017 «fue totalmente prevenible». (Fuente: BankInfoSecurity)
• Las 100 peores contraseñas del 2018: después de evaluar más de 5 millones de contraseñas filtradas en Internet, SplashData descubrió que los usuarios de computadoras continúan usando las mismas contraseñas predecibles y fáciles de adivinar. (Fuente: TeamsID)
• Los memes de Twitter para entregar comandos de malware: los atacantes desarrollaron una forma de usar los memes publicados en Twitter para controlar las computadoras infectadas con RAT. Los operadores utilizan la esteganografía para ocultar las instrucciones en las imágenes, que luego el malware analiza y ejecuta. (Fuente: TechSpot)
• Cloudflare proporciona protección DDoS para sitios web terroristas:  Cloudflare se enfrenta a acusaciones de que proporciona protección contra la ciberseguridad a al menos siete organizaciones terroristas, una situación que, según algunos expertos legales, podría poner en riesgo legal. (Fuente: Gizmodo)
• Credenciales de usuarios gubernamentales encontradas en Dark Web: los investigadores del Grupo-IB descubrieron más de 40,000 cuentas de usuarios en la Web oscura que parecen ser credenciales comprometidas para sitios web de gobiernos en línea en 30 países. (Fuente: SecurityWeek)
• El ataque de firmware remoto hace que los servidores no puedan arrancar: los investigadores de seguridad han encontrado una manera de corromper el firmware de un componente crítico que generalmente se encuentra en los servidores para convertir los sistemas en un conjunto de hardware que no se puede arrancar. (Fuente: BleepingComputer)
• Cómo los hackers pasan por alto Gmail 2FA: un nuevo informe de Amnistía Internacional incluye algunos de los detalles técnicos sobre cómo los hackers pueden robar automáticamente los tokens de autenticación de dos factores que se envían a los teléfonos. (Fuente: placa base)
• La pila de cables diplomáticos de la UE se cortó: el New York Times publicó lo que dice que son extractos de cables diplomáticos de la UE hackeados obtenidos después de descubrir contraseñas que les permiten ingresar a una base de datos de mensajes y cables diplomáticos de la UE de bajo nivel. (Fuente: The Register) \

¡Mantente a salvo, todos!

Uno de los kits de exploits más interesantes que rastreamos también es un poco esquivo, y como tal no recibe el mismo escrutinio que sus homólogos de RIG y Fallout. Underminer se mencionó en nuestro resumen de otoño de 2018 , y en ese momento estaba usando CVE-2018-8174 (Internet Explorer) y CVE-2018-4878 (Flash Player hasta la versión 28.0.0.137).

A mediados de diciembre, notamos algunos cambios con Underminer que nos impulsaron a profundizar. Esto sucedió aproximadamente en el mismo período de tiempo en que estaban disponibles los nuevos días cero y la prueba de los conceptos, que suele ser un momento oportuno para que los autores de kits de explotación se integren.

Versión anterior y artefactos.

La vulnerabilidad CVE-2018-4878 es algo fácil de detectar dentro del tráfico de la red porque deja algunos artefactos atrás. De hecho, los usamos en nuestro laboratorio y los relacionamos con otros IOC.

Como se documentó en nuestra publicación de blog anterior , Underminer usa el intercambio de claves cliente-servidor cuando entrega su exploit de IE, que cifra el código pero también evita que los analistas lo reproduzcan desde una captura de red guardada. Sin embargo, su explotación SWF hasta ahora se implementó sin tales protecciones en su lugar y, por lo tanto, podría volver a analizarse por sí solo.

Nuevo exploit de flash encubierto

El exploit parece haber cambiado a mediados de diciembre. Primero, no vimos los artefactos de Flash como lo hicimos antes, lo que nos llevó a probar este exploit con una versión más reciente de Flash (31.0.0.153).

En segundo lugar, vimos un nuevo fragmento de código dentro de la página de destino de exploits SWF que hace referencia a una función getSalt () . Esto avivó nuestra curiosidad y, al comparar varias capturas de tráfico, notamos que la función siempre devolvería valores diferentes.

Al observar la vulnerabilidad del SWF, vimos un código que interactúa con el JavaScript de la página del iniciador ( ExternalInterface.call ) y toma ese valor para pasarlo a otra función que descodifique la vulnerabilidad. Cuando intentamos reproducir el SWF malintencionado «artificialmente», no se activaría correctamente.

Debido a que la versión de Flash que utilizamos era 31.0.0.135 (el último Flash Player no se vio afectado en nuestras pruebas), creemos que Underminer implementó el reciente  CVE-2018-15982 .

La forma en que la carga útil final se empaqueta y ejecuta sigue siendo exclusiva de Underminer. Es lo que llamamos Hidden Bee . Hidden Bee es una carga útil personalizada que tiene módulos específicos y carece de la estructura del formato PE típico. Por esta razón, es más difícil de analizar y les da a los atacantes más flexibilidad que si en su lugar estuvieran usando shellcode simple.

Los usuarios de Malwarebytes ya están protegidos contra este kit de vulnerabilidad, ya que bloqueamos las vulnerabilidades de Internet Explorer y Flash Player.

La Navidad ya casi está sobre nosotros, y los pensamientos tal vez recurren a varios regalos digitales de una naturaleza «inteligente» . Seguridad para el hogar, hubs, altavoces, cámaras y mashups de todos esos y más además.

Con respecto a los oradores, las piezas más inmediatas de su hogar están teóricamente a su entera disposición.

Hay muchos consejos buenos sobre qué hacer con sus nuevos dispositivos. Desmarque las cajas, aumente la seguridad, tal vez elimine la característica «inteligente» por completo arrancando las baterías. Sin embargo, ¿es posible que estemos llevando las cosas demasiado lejos? ¿Están nuestras preocupaciones justificadas? ¿Hay, quizás, un punto medio un tanto feliz donde estos dispositivos puedan coexistir con nosotros sin una sensación infinita de pánico?

Bueno, probablemente no. Pero tal vez podamos aliviar algunos temores en el camino.

Ocurrirán accidentes

Esto es un hecho de la vida. Nada es 100 por ciento seguro, y nada es 100 por ciento libre de errores y contratiempos. Si bien esto es un escaso consuelo si algo sale desastrosamente mal, aceptar que nada es perfecto a veces hace mucho.

Muchas de las más «oh, no, ahora qué», las noticias sobre dispositivos de altavoces inteligentes implicaron un accidente o un uso imprevisto de la tecnología en cuestión.

De casas de muñecas, galletas y hamburguesas.

Muchos incidentes reportados son sobre interacciones accidentales entre usuarios y sus dispositivos. De particular interés es la historia de 2017 de un niño que de alguna manera logra hacer un pedido de una casa de muñecas y galletas a través de Alexa de Amazon. Esto se volvió aún más confuso cuando un segmento de televisión causó aparentemente un caos con varios intentos adicionales de órdenes. Vale la pena señalar que ninguno de esos intentos adicionales parece haber resultado en compras, por lo que o nos estamos perdiendo una parte crucial de la historia del niño o algo que realmente funciona mal en su hogar.

También tenemos bromas en South Park y el infame anuncio de Burger King que hace que Google Home le cuente a sus dueños todo sobre las hamburguesas a través de un texto leído en voz alta en Wikipedia. Si bien esto es cómico, podría haber invitado fácilmente algunos mensajes increíblemente dudosos a la casa dado que cualquiera puede editar el texto de Wikipedia. De hecho, el texto del anuncio fue saboteado . Qué mundo.

Problemas de privacidad

Las grabaciones accidentales son quizás el mayor problema potencial, y ciertamente lo más probable es que causen un problema de privacidad. En mayo de 2018, una serie de errores provocaron el envío deconversaciones privadas a un contacto aleatorio a través de un orador Echo. Esto es, por supuesto, horrendo y podría fácilmente haber terminado en un desastre dependiendo del contexto.

También es esencial que los propietarios de dispositivos lean todos los EULA y las políticas de privacidad a fondo. Son lo suficientemente complicados para juegos móviles simples, sin considerar las ramificaciones de las interacciones del mundo real. Como mencioné en el artículo de Privacy Central de Top 10 VPN sobre este mismo tema, incluso si lees muchas palabras legales , no hay garantía de que todo cambie mientras no mires.

Escuchar con atención?

La amenaza potencial de los dispositivos que siempre se escuchan es propenso a sobreescritura. El mayor problema suele ser la activación accidental, desde anuncios o ruido de fondo. Es raro que los altavoces funcionen mal y escuchen por su propia cuenta.

Los propietarios pueden desear no permitir que los dispositivos activados por voz puedan bloquear o desbloquear los puntos de entrada a la casa, ya que esta es un área de activación deliberada que podría causar el mayor daño. Ciertamente no recogen todo lo que se dice, y están configurados deliberadamente para evitarlo. Agarrar todo las 24 horas del día, los 7 días de la semana, significaría que los fabricantes de dispositivos simplemente no podrían manejar toda la información, por lo que lo mejor para ellos es ser lo más conciso y específico posible.

Como lo demuestra la reciente lista de » Privacidad no incluida » de Mozilla , la gente parece tener una fuerte aversión a los oradores inteligentes. Los dispositivos de Amazon y Google actualmente están calificados como «súper espeluznantes» por los votantes, mientras que el único orador inteligente que tiene una calificación positiva de «no espeluznante» es el código abierto Mycroft Mark 1. Con una falta de información sobre cómo funcionan los sistemas cerrados. En el hogar, tal vez tenga sentido que las personas recurran a dispositivos de código abierto donde puedan entender mejor lo que está sucediendo.

¿Cuál es la mayor área de preocupación?

Como mencioné anteriormente, creo que los dispositivos de IoT fraudulentos representan la mayor amenaza para las víctimas de abuso doméstico . Esto se debe a la facilidad de acceso a los dispositivos por parte de la persona maliciosa. La capacidad de controlar aspectos de la casa hasta el más mínimo detalle es un escenario de pesadilla potencial. Hay formas de combatir esto, pero es arriesgado y siempre sugerimos apoyo profesional y asistencia siempre que sea posible.

¿Quién dice la verdad?

Todo lo que podemos hacer es mirar la evidencia en oferta y tomar una decisión informada. Si estás de acuerdo con la posibilidad de fallas ocasionales accidentales o disparos maliciosos, estás listo para comenzar. No podemos pretender que estos dispositivos no continuarán llegando a nuestros hogares. Lo que podemos hacer es asegurarnos de tomar medidas para limitar los daños siempre que sea posible. Manténgase al tanto de las posibles amenazas a medida que aparezcan, y es de esperar que no tenga problemas en esta temporada festiva.

Ah, concursos en línea. Muchos de nosotros sabemos que, en realidad, pueden ser un tanto tontos y sin sentido, pero eso no nos impide hacer clic en el botón «Iniciar prueba». Además, tienes tiempo para matar y solo hay tres preguntas para responder, ¿verdad?

El tipo correcto de mal

Los ataques de phishing no siempre comienzan en las bandejas de entrada de su correo electrónico. Ya sea que esté en una computadora de escritorio, computadora portátil, tableta o teléfono inteligente , existen varios otros vectores donde los usuarios pueden encontrar intentos de phishing. Y créanme, no tienen un letrero luminoso de neón que podría alertar fácilmente a los usuarios de que están buscando información personal.

Los phishers han sido uno de los cibercriminales más resistentes que existen hasta la fecha. Y Katz, investigador principal de seguridad de Akamai Technologies, ha demostrado este punto una vez más.

Katz ha confirmado lo que muchos de nosotros ya hemos sospechado: los cuestionarios breves que se han compartido en Facebook, Twitter y otras redes sociales, en un informe publicado recientemente titulado “Una nueva era en Phishing: juegos, redes sociales y premios” [PDF]. Las plataformas son estafas. Y detrás de ellos hay esfuerzos sofisticados y coordinados que fueron diseñados para la exposición prolongada de los usuarios a las campañas de fraude.

Katz y su equipo han estudiado 689 campañas de phishing personalizadas que se basan en 78 nombres populares de marcas en todas las industrias. Estas marcas incluyen United Airlines, Target, Disneyland y Dunkin ‘Donuts. Todas las páginas de phishing basadas en cuestionarios siguen un formato de plantilla: hacen tres preguntas y, una vez que el usuario las responde (tenga en cuenta que no tienen que ser correctas), les prometen un premio asociado con la marca que se están haciendo pasar por alto. Por ejemplo, si el cuestionario es sobre Disneyland, los participantes podrían «ganar» pases gratuitos.

Luego, los participantes en las preguntas se dirigen a una página web que solicita información personal, por lo que pueden reclamar el premio, por supuesto, como su dirección de correo electrónico, dirección física y edad.

El kit de herramientas detrás de estas campañas de phishing “positivas”

Los kits de suplantación de identidad (phishing) son un elemento básico para el arsenal de fraude de phishing grave. Estas herramientas ingeniosas y reutilizables son populares en el mercado subterráneo porque realizan la mayor parte del trabajo con poco esfuerzo de los estafadores. También hace que la creación de campañas de phishing sea mucho más rápida.

De acuerdo con esta publicación del blog que acompaña al documento de Akamai, los kits de phish basados ​​en cuestionarios que estudiaron utilizan las siguientes tácticas de ingeniería social para ganarse la confianza del usuario:

• Un sitio web personalizado de «marca», en el que muestran logotipos y marcas de compañías de confianza que utilizan para atraer objetivos y hacer que se sientan cómodos para responder las preguntas del cuestionario.
• Un llamado a la acción, en el que crean un sentido de urgencia, por lo que el objetivo probablemente complete el cuestionario o dé información sin pensarlo. Un ejemplo de esto es afirmar que el premio de alto valor solo puede ser ganado por un número limitado de participantes, por lo que necesitan avanzar.
• Múltiples respaldos falsos en las redes sociales, en los que se utilizan perfiles de redes sociales falsos para fortalecer la legitimidad de la oferta de la supuesta marca. Al mostrar al objetivo que varias personas ya han ganado y reclamado el premio, el objetivo dudaría menos. También se requiere que el objetivo comparta el enlace al cuestionario en los canales de redes sociales, una estafa de encuestaclásica .

Otros hallazgos de la campaña de phishing

• Las marcas abusadas por los phishers en su campaña son compañías que pertenecen a las aerolíneas, al por menor y las industrias de alimentos y bebidas.
• El 82 por ciento de los dominios reales utilizados en estas campañas de phishing han aprovechado los errores de typosquatting .
• Las versiones más recientes del kit de phishing incluyen funciones adicionales, como la traducción automática, que hace que la estafa sea accesible para personas que no hablan inglés, y nuevos perfiles de redes sociales falsos, lo que hace que la estafa sea más confiable y dinámica.
• Las campañas de phishing que utilizan las redes sociales son más efectivas en comparación con el phishing tradicional.

Una nueva campaña de phishing a tener en cuenta.

Akamai ha predicho que las campañas de phishing de esta naturaleza, o aquellas que tienen un aspecto positivo en lugar de uno negativo, como en el phishing tradicional, solo aumentarán en el futuro. En lugar de usar tácticas de miedo, los phishers ahora han aprendido a explotar la mecánica del juego y aprovechar la curiosidad y el deseo de regalos de las personas. En el proceso, los phishers han hecho que los usuarios de Internet sean receptivos a ellos, sin que los usuarios se den cuenta.

Se recomienda a los usuarios que sean más vigilantes y críticos cuando se trata de ofertas de regalos en línea, independientemente de la forma en que se presenten, hasta que hayan verificado que las ofertas son legítimas. Si bien puede ser divertido perder el tiempo en las pruebas que un contacto ha compartido en Facebook, sería prudente darle un pase, y tal vez advertir al pobre compañero a través de PM que podría haber sido engañado para que entregue su información personal a estafadores