La automatización es una opción cada vez más atractiva para las empresas, especialmente cuando los que están en operaciones están en un ciclo perpetuo de «demasiado por hacer y no hay suficiente tiempo para hacerlo».

Al considerar una estrategia de automatización, los representantes comerciales deben estar conscientes de los riesgos de seguridad involucrados. Aquí hay seis preocupaciones que los administradores de red y otros miembros del personal de TI deben tener en cuenta.

1. Uso de la automatización para la ciberseguridad en formas contraproducentes.

Los equipos de ciberseguridad en muchas organizaciones están demasiado extendidos, acostumbrados a asumir tantas responsabilidades que su productividad general disminuye. La automatización de algunas tareas de ciberseguridad podría proporcionar un alivio muy necesario para los miembros del equipo, siempre que esos empleados utilicen la automatización de manera estratégica.

Por ejemplo, si los miembros del equipo de ciberseguridad automatizan los procedimientos operativos estándar, tendrán más tiempo para evaluar los problemas e investigar posibles vulnerabilidades. Pero, el enfoque debe estar en el uso de la automatización de una manera que tenga sentido para la ciberseguridad, así como en otras partes del negocio. La inteligencia humana sigue siendo necesaria junto con la automatización para identificar mejor las amenazas, analizar patrones y hacer uso rápido de los recursos disponibles. Si construyes defensas pero las dejas desatendidas, eventualmente los enemigos van a abrirse paso.

2. Dando a demasiadas personas acceso a servicios de pago automático.

Olvidarse de pagar una factura a tiempo es embarazoso y puede afectar negativamente el acceso de una empresa a las líneas de crédito. Afortunadamente, las empresas pueden utilizar numerosos servicios automáticos de pago de facturas para deducir los montos necesarios cada mes, a menudo en un día específico.

Tomar ese enfoque evita que los representantes comerciales tengan que sacar regularmente las tarjetas de crédito de sus billeteras y escribir manualmente los números en formularios. Sin embargo, es una buena práctica restringir la cantidad de personas que pueden configurar esos pagos y verificar que se realizan.

De lo contrario, si hay problemas con un pago, será muy difícil investigar qué salió mal. Además, existe la posibilidad de amenazas internas, como un empleado descontento o alguien que busca vengarse después de la terminación. Los usuarios malintencionados podrían acceder a un servicio de pago y cambiar los programas de pago, eliminar métodos de pago, retirar grandes cantidades o causar estragos.

3. Pensar que la automatización es infalible.

Una de las cosas especialmente útiles de la automatización es que puede reducir la cantidad de errores que cometen las personas. Las estadísticas indican que casi el 71 por ciento de los trabajadores reportan estar desconectados en la oficina. Las tareas repetitivas a menudo son las culpables, y la automatización podría reducir el aburrimiento que sienten las personas (y los errores que cometen) al relegarlas a proyectos más desafiantes.

Independientemente de la forma en que usan la automatización, los administradores de TI no deben tener la costumbre de creer que las herramientas automáticas son infalibles y no es necesario verificar los errores. Por ejemplo, si una empresa utiliza la automatización para tratar el contenido relacionado con las finanzas, como las facturas, no debe adoptar un enfoque relajado para mantener segura esa información solo porque una herramienta está manejando la tarea.

En todas las responsabilidades que implican mantener la seguridad de los datos, los seres humanos aún desempeñan un papel vital para garantizar que las cosas funcionen como deberían. Después de todo, las personas son las que configuran los procesos que lleva a cabo la automatización, y esas personas también podrían haber cometido errores.

4. No tener en cuenta GDPR

El Reglamento general de protección de datos (GDPR) entró en vigencia en mayo de 2018 y determina cómo las empresas deben tratar los datos de los clientes en la Unión Europea. Estar en violación podría resultar en multas sustanciales para las empresas, sin embargo, algunas compañías ni siquiera saben que están haciendo algo mal.

Mantener la información en una base de datos de gestión de relaciones con el cliente (CRM) podría mantener el cumplimiento de GDPR ayudando a las empresas a tener registros precisos y actualizados de sus clientes, haciendo que sea más fácil garantizar que tratan esa información de manera adecuada. Como el GDPR otorga a los clientes numerosos derechos , incluido el derecho a que se borren los datos o el derecho a que los datos se almacenen pero no se procesen, cualquier herramienta de automatización seleccionada por una organización debe ser lo suficientemente ágil para satisfacer esas solicitudes.

La automatización, ya sea lograda a través de una herramienta CRM o de otra manera, puede ayudar a las compañías a alinearse mejor con las regulaciones de GDPR. De hecho, es esencial que las empresas no pasen por alto GDPR cuando eligen formas de automatizar procesos.

5. No usar las mejores prácticas con los administradores de contraseñas

Los administradores de contraseñas son increíblemente convenientes y seguros porque almacenan, cifran y completan automáticamente las contraseñas adecuadas para cualquier número de cuentas respectivas, siempre que los usuarios conozcan la contraseña maestra correcta. Algunos de ellos incluso automatizan el llenado de los detalles de facturación almacenando la información de pago en carteras seguras en línea.

Sin embargo, hay formas incorrectas de utilizar los administradores de contraseñas  para fines comerciales o personales. Por ejemplo, si una persona elige una contraseña maestra que ya ha usado en muchos otros sitios o comparte esa contraseña con otros, ha rechazado el propósito del administrador de contraseñas. Elegir un administrador de contraseñas con autenticación multifactor es nuestra recomendación para la forma más segura de iniciar sesión en sus cuentas.

Sin duda, es conveniente visitar un sitio y hacer que complete automáticamente su contraseña con un solo clic. Pero, los administradores de contraseñas solo funcionan según lo previsto cuando los empleados las usan correctamente.

6. Ignorar las notificaciones para actualizar el software de automatización.

Muchas herramientas de automatización muestran mensajes emergentes cuando hay nuevas actualizaciones de software disponibles. A veces, las actualizaciones solo incluyen nuevas características, pero es común que solucionen errores que podrían comprometer la seguridad. Cuando el objetivo es sumergirse en el trabajo y hacer todo lo posible, tomarse unos minutos para actualizar el software de automatización no siempre es una opción atractiva.

Pero, si el software obsoleto termina provocando un ataque y comprometiendo los registros de los clientes, la gente desearía no postergarlos. Es mejor para las empresas programar un horario, como revisar el software de automatización en busca de actualizaciones en un día particular cada mes ( por ejemplo, el martes de parches ).

Afortunadamente, muchos títulos de software permiten a las personas elegir el tiempo deseado para que se realice la actualización, o, en esencia, automatizar el mantenimiento del software de automatización. Luego, los usuarios pueden configurar el software para que se actualice fuera del horario comercial o durante otros períodos probables de tiempo de inactividad.

La automatización es ventajosa, si la seguridad sigue siendo una prioridad

Si bien la automatización puede ser de gran ayuda para las empresas, también puede presentar riesgos si se utiliza incorrectamente, se descuida o se confía demasiado en ella. Mantenerse al tanto de los problemas relacionados con la seguridad planteados en este artículo ayuda a las organizaciones de todos los tamaños y en todas las industrias a usar herramientas automatizadas de manera segura y eficaz.

La temporada festiva puede ser inminente, pero es una Hermana Secreta de Facebook (no Santa) de la que debes alejarte. Secret Sister ha sido un pilar de las estafas de Yuletide al menos en 2015 , y ha regresado una vez más . ¿Pero, qué es esto?

Su oficina probablemente tiene un esquema de Santa Secreto en su lugar. Sacas nombres de un sombrero y secretamente le compras un regalo a la persona nombrada. Todo es bastante sencillo, y una gran fuente de desodorantes y utensilios de cocina novedosos no deseados. La Hermana Secreta no es tan buena, y podría dejarte en una gran cantidad de problemas. Probablemente ni siquiera conseguirás el desodorante.

Cómo funciona la estafa

Por lo general, las letras en cadena de la variedad Secret Sister se atascan a través de la puerta principal. En este caso, la letra de la cadena aterriza en su buzón digital en oposición a la real. En teoría, podría recibir uno de estos en cualquier lugar, y las personas han informado que los recibieron en cualquier lugar, desde Reddit y Facebook a varios portales sociales y foros. Por la razón que sea, Facebook parece ser el lugar favorito del estafador para hacer rodar la pelota en esta estafa en particular. La posibilidad de poder enviarlo haciendo ping alrededor de grandes cadenas de conexión social es demasiado buena para resistirla.

Muestra de hermana secreta 

Los mensajes pueden variar enormemente, pero uno de los más populares que se remonta a un año o menos dice lo siguiente:

¿Alguien interesado en un intercambio de regalos de vacaciones? No me importa dónde vivas, eres bienvenido a unirte. Necesito 6 (o más) damas de cualquier edad para participar en un intercambio de regalos secreto entre hermanas. ¡Solo tienes que comprar UN regalo valorado en $ 10 o más y enviarlo a una hermana secreta y recibirás 6-36 a cambio!

¡Avísame si estás interesado y te enviaré la información!

Por favor, no pida participar si no está dispuesto a gastar los $ 10.

TIS LA TEMPORADA! y se está acercando. COMENTA si estás ENCENDIDO y te enviaré un mensaje privado. Por favor, no comente si no está interesado y no está dispuesto a enviar el regalo.

Puede que suene prometedor para muchas personas que lo lean, pero realmente no te hará mucho bien.

De las cadenas a las pirámides.

Las letras en cadena son esencialmente esquemas piramidales. Los esquemas de pirámide implican canalizar dinero de abajo hacia arriba, beneficiando a los que están arriba y no a muchos otros. Si está allí desde el principio, sus posibilidades de obtener un buen rendimiento aumentan un poco. Para todos los demás, probablemente vas a perder.

Cuando esto se complica es en los EE. UU., Estos esquemas tienden a parecerse al juego. Esto significa que fácilmente podría terminar violando la ley . Desde el sitio web de los inspectores postales de los Estados Unidos:

Son ilegales si solicitan dinero u otros artículos de valor y prometen un retorno sustancial a los participantes. Las cartas en cadena son una forma de juego, y enviarlas por correo (o entregarlas en persona o por computadora, pero enviar dinero por correo para participar) viola el Título 18, Código de los Estados Unidos, Sección 1302, el Estatuto de la Lotería Postal

Datos de la hermana secreta

Definitivamente no recibirás un montón de regalos gratis. Sin embargo, podría ser arrastrado a algún tipo de estafa postal dudosa con sanciones por fraude de correo en su lugar. También existe el riesgo de robo de identidad a considerar. Los estafadores de fraude de correo suelen pedir información personal. Podría terminar dándoles su nombre, dirección, número de teléfono, junto con una variedad de perfiles en línea para vincularlos. Esto podría ser todo lo que un criminal emprendedor necesita para hacer algún daño adicional, especialmente si persisten en expandirse desde tu perfil a los de tus amigos.

No importa cuán atractiva sea la posibilidad de que los regalos gratis y fáciles suenen a medida que 2018 se acerca lentamente a su fin, no se deje engañar. Estos tipos de travesuras han existido por mucho tiempo , y mudarse al reino digital no los hace más seguros. Si no tiene su sede en los EE. UU., Es posible que no tenga la preocupación legal con la que lidiar como resultado, pero eso es poco consuelo.

Nuestro consejo es apegarse a Secret Santa y no darle nada más que a su hermana Devolución al remitente.

Emery estuvo mirando fijamente la pantalla de su computadora durante casi una hora, con los ojos desteñidos mientras el anuncio de página completa en Motiv aparecía una vez más. Estaba contemplando si se rendiría y le regalaría a su novio Ben un nuevo rastreador de ejercicios como regalo para su próxima maratón. La aplicación de teléfono que estaba usando actualmente funcionaba, pero Ben nunca se acostumbró a usar su iPhone en su brazo. De hecho, el peso de lo distrajo.

Emery pensó que algo ligero, resistente y discreto era lo que necesitaba como reemplazo. Y el Anillo Motiv, en elegante gris pizarra, por supuesto, parecía ser la mejor opción. Pero por $ 199, ella inmediatamente dio un paso atrás. Es cierto que el precio la tentó a volver a las opciones más baratas.

Alcanzando su taza de café, Emery recordó el peso del Ela Bangle alrededor de su muñeca. Ben se lo había regalado como un regalo de bienvenida después de su misión médica de dos semanas. Lo había llamado un relicario inteligente, uno que no puedes usar alrededor de tu cuello. Sabía que ella sentía nostalgia fácilmente, por lo que Emery estaba extasiada cuando Ben le había mostrado fotos y mensajes de audio cercanos y caros para ella, todos guardados en su piedra redondeada.

Al menos eso fue lo que decía el folleto. En realidad, sus archivos personales estaban almacenados en la nube asociada con la Ela.

A pesar de que Emery solo podía hablar sobre su relicario inteligente, no pudo evitar preguntarse si alguien más podría ver sus archivos. Ella es tan experta en tecnología como la siguiente enfermera en su sala, pero las historias de piratería, información robada y archivos bloqueados se discutían con frecuencia en el hospital, lo que le hizo darse cuenta de que poseer tecnología de una industria naciente puede poner a uno en una posición precaria.

---

Emery y su situación actual pueden ser ficticias, pero su dilema es real. Las joyas inteligentes tienen un atractivo real, pero no están exentas de riesgos para la seguridad y la privacidad.

Independientemente de lo que los enamoró, los compradores potenciales deberían considerar este detalle significativo antes de decidirse: los datos. Principalmente, lo que sucede con los datos permite que sus joyas inteligentes puedan monitorear, recopilar, analizar y almacenar. ¿Se puede acceder, recuperar, transportar o usar, cualquiera que tenga las habilidades? ¿Se podrían filtrar los datos en un accidente o debido a la simple manipulación de ciertos elementos (como aumentar la identificación del usuario)? Estas son algunas preguntas que debemos seguir haciéndonos a nosotros mismos en esta era de violaciones .

No solo eso, la información recopilada sobre la salud y el bienestar de una persona es otro tesoro que debe estar bajo la protección de un estatuto como HIPAA, pero no lo es. No es de extrañar que los legisladores y los que trabajan en los sectores de la ciberseguridad y la privacidad hayan expresado su preocupación por la evidente falta de seguridad no solo de la tecnología portátil, sino de la Internet de las cosas en su conjunto.

Cómo funciona la joyería inteligente

La joyería inteligente, o joyería portátil, es una forma relativamente nueva de tecnología portátil (WT) capaz de datos de bajo procesamiento. Y al igual que otros WT, generalmente no es un dispositivo independiente. Requiere que una aplicación se combine con su joyería inteligente para que pueda hacer lo que está diseñada para hacer. En pocas palabras, este tándem es cómo funcionan las joyas inteligentes, y los wearables en su conjunto.

Las joyas portátiles que actúan como rastreadores de ejercicios generalmente siguen el modelo estándar a continuación:

• Rastreo de datos usando sensores en el wearable, como un acelerómetro, giroscopio, rastreador y otros.
• Transmisión de datos desde el dispositivo portátil al teléfono inteligente a través de Bluetooth Low Energy (BLE) o ant plus (ANT +)
• Agregar, analizar, procesar y comparar los datos en el teléfono inteligente.
• Sincronización de datos desde la aplicación del teléfono inteligente a su servidor en la nube a través de una conexión a Internet.
• Presentación de datos al usuario a través del smartphone.

El procesamiento en profundidad y el análisis de datos también ocurren en la nube. Los fabricantes ofrecen este servicio adicional a los usuarios como una opción. Como puede ver, así es como los proveedores de servicios monetizan los datos.

Hoy en día, las joyas inteligentes se están convirtiendo en algo más que un simple rastreador de ejercicios. Algunos ya funcionan como una extensión del teléfono inteligente, brindando notificaciones sobre las llamadas entrantes y nuevos mensajes de texto y correos electrónicos. Otros se pueden usar para controlar el sueño o la apnea del sueño , grabar la voz, compartir y comunicarse con manos libres, abrir puertas o pagar compras. Una pequeña cantidad de joyas inteligentes puede incluso actuar como dispositivo de seguridad personal, pase de tren o autobús, tarjeta bancaria o llave de puerta inteligente .

Pero mientras la joyería se vuelve más deslumbrante y el procesador, la computadora central de la joyería portátil, se vuelve más inteligente con el tiempo, es probable que uno pregunte: ¿Se está volviendo más segura la joyería inteligente? ¿Está protegiendo mi privacidad?

Desafortunadamente, la respuesta contundente y contundente a ambos es «no».

Los desafíos de seguridad y privacidad que enfrentan las joyas inteligentes.

Debido al tamaño del procesador, una necesidad para hacer que los wearables sean livianos, relativamente económicos y aptos para la producción en masa, los fabricantes ya están limitados de agregar cualquier medida de seguridad. Este es un problema inherente en la mayoría de los dispositivos portátiles.

De hecho, es seguro decir que algunas vulnerabilidades o fallas de seguridad que encontramos en los dispositivos portátiles también se pueden encontrar en las joyas inteligentes.

En el documento de investigación titulado “ Análisis de vulnerabilidades de seguridad y privacidad de los dispositivos portátiles ” , Ke Wan Ching y Manmeet Mahinderjit Singh, investigadores de la Universiti Sains Malaysia (USM), han presentado varias debilidades y limitaciones en los dispositivos portátiles que hemos agrupado en los principales las categorías Estos son:

• Poco o sin autenticación.  La mayoría de los wearables no tienen forma de autenticar o verificar que la persona que accede a ellos o los usa es quien dice ser. Estos dispositivos son susceptibles a ataques de inyección de datos, ataques de denegación de servicio (DoS) y cortes de descarga de batería. En el caso de los gadgets que tienen un esquema de autenticación, el sistema no es lo suficientemente seguro. Esto podría ser rápidamente aprovechado por los ataques de fuerza bruta .
• Leaky BLE. Debido a esto, las personas con malas intenciones pueden rastrear fácilmente a los usuarios que usan joyas inteligentes. Y si una ubicación puede determinarse con facilidad, la privacidad también se ve comprometida. Otros ataques de Bluetooth que pueden funcionar contra dispositivos portátiles son las escuchas ilegales, la vigilancia y los ataques de intermediarios (MiTM) .
• Fuga de información. Si la ubicación de uno puede determinarse con una precisión milimétrica, es posible que los piratas informáticos puedan recoger  información de identificación personal (PII) y otros datos con la misma facilidad. La fuga de información también conduce a otros ataques de seguridad, como el phishing .
• Falta de encriptación. Se sabe que algunos wearables envían y reciben datos en o desde la aplicación en texto sin formato. Es muy probable que la joyería inteligente también esté haciendo esto.
• Falta o incompleta política de privacidad. Algunos fabricantes de joyas inteligentes dejan en claro lo que hacen con la información que recopilan de los usuarios que visitan su sitio web. Sin embargo, apenas mencionan lo que hacen a los datos más personales que reciben de sus dispositivos portátiles y de su aplicación. Su política de privacidad no (o rara vez) dice qué se recopila, cuándo se recopilan los datos, para qué se utilizarán los datos o durante cuánto tiempo se pueden conservar los datos.
• Sesión insegura. Los usuarios pueden acceder a sus joyas inteligentes a través de su aplicación, y su aplicación guarda las cuentas de los usuarios. La administración basada en cuentas está en riesgo si su debilidad está en la forma en que administra las sesiones. Los atacantes podrían adivinar las cuentas de usuario para secuestrar sesiones o acceder a los datos que pertenecen al usuario.

También es importante tener en cuenta que, a diferencia de los teléfonos inteligentes y otros dispositivos móviles, los propietarios de joyas inteligentes no tienen forma de rastrear sus joyas portátiles en caso de que pierdan o se pierdan accidentalmente.

Cómo los fabricantes de joyas inteligentes están abordando los desafíos

La introducción de la Unión Europea del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) ha creado un efecto de tsunami en organizaciones de todas las industrias en todo el mundo. Los fabricantes de dispositivos portátiles no son una excepción. Es posible que los propietarios de relojes inteligentes, pulseras inteligentes y otros dispositivos portátiles ya hayan notado algunos ajustes en las políticas de privacidad que acordaron, y esto es algo bueno.

Cuando se trata de seguridad y privacidad, para sorpresa de muchos, no están totalmente ausentes de las joyas inteligentes. Los fabricantes reconocen que los dispositivos portátiles se pueden usar para proteger datos y cuentas. También entienden que sus wearables necesitan ser asegurados. Y una pequeña cantidad de organizaciones ya están tomando medidas.

Motiv, el ejemplo que usamos en nuestra narrativa introductoria, ya ha incorporado en sus dispositivos esquemas de autenticación biométricos y de dos factores, que recientemente revelaron en una publicación de blog . El anillo Motiv ahora incluye una función llamada WalkID, un proceso de verificación que controla el modo de andar del usuario. Se ejecuta continuamente en segundo plano, lo que significa que WalkID verifica regularmente la identidad del usuario. El anillo también puede servir ahora como una capa adicional de protección para las cuentas en línea que están vinculadas a él. En el futuro, Motiv ha prometido a  sus usuarios inicios de sesión sin contraseña, escaneo de huellas dactilares y reconocimiento facial.

Los diamantes y los datos son para siempre

En enero de este año, Ringly, una empresa pionera de joyería inteligente, se despidió de la industria de la tecnología portátil (probablemente para siempre) después de solo cuatro años. Aunque no se reveló por qué, uno no debe tomar esto como un signo de un futuro en disminución para las joyas de vestir. Por el contrario, muchos expertos pronostican una perspectiva abrumadoramente positiva sobre la tecnología portátil. Sin embargo, la industria de los wearables debe hacer un esfuerzo concertado para abordar las muchas debilidades que se encuentran en las modernas joyas inteligentes.

Entonces, ¿deberías morder la bala y derrochar algunas joyas inteligentes?

La respuesta todavía depende de para qué la necesitas. Y si tiene la intención seria de obtener uno, recuerde que hay medidas de seguridad que puede tomar para minimizar esos riesgos. Actualizar regularmente la aplicación y el firmware, aprovechando los modos de autenticación adicionales si están disponibles, usar contraseñas seguras, nunca compartir su PIN y desactivar el Bluetooth cuando no sea necesario son solo algunas sugerencias.

Cómo elegir entre las opciones de joyería inteligente también juega un papel clave en la seguridad. Asegúrese de seleccionar una marca que tome en serio la seguridad y lo muestre mejorando continuamente las fallas y los problemas de privacidad que mencionamos anteriormente. La tecnología de primera generación es siempre insegura. Lo que los consumidores deben tener en cuenta son las mejoras futuras, no solo en el aspecto y las funcionalidades, sino también en cómo se protege a sí mismo y a sus datos.

Por último, está bien esperar. Seriamente. No tiene que tener el último anillo, collar o pulsera inteligente si no cuida sus datos o lo deja abierto a los piratas informáticos. Sería prudente conformarse con otras alternativas que aborden sus necesidades, en primer lugar, y coordinarlas con su atuendo en segundo lugar. Después de todo, la industria de la joyería inteligente es relativamente joven, por lo que todavía tiene un largo camino por recorrer. Y con cada avance, solo podemos esperar que las joyas inteligentes cuenten con medidas de seguridad más sólidas e implementaciones de políticas amigables con la privacidad.

En cuanto a los wearables en el entorno empresarial , bueno, esa es otra historia.

Trojan.TrickBot ha estado presente en el panorama de amenazas desde hace bastante tiempo. Escribimos sobre su primera versión en octubre de 2016 . Desde el principio, era un malware modular bien organizado, escrito por desarrolladores con habilidades maduras. A menudo se le llama banquero, sin embargo, su estructura modular permite agregar libremente nuevas funcionalidades sin modificar el robot de núcleo. De hecho, la funcionalidad de un banquero está representada solo por uno de muchos de sus módulos .

Con el tiempo, los desarrolladores ampliaron las capacidades de TrickBot mediante la implementación de nuevos módulos, por ejemplo, el que roba las credenciales de Outlook . Pero la evolución del bot del núcleo, que se usó para el despliegue de esos módulos, fue bastante lenta. Los scripts escritos para descodificar módulos de la primera versión funcionaron hasta hace unos meses, lo que demuestra que el esquema de cifrado utilizado para protegerlos permaneció sin cambios.

Octubre de 2018 marca el final del segundo año desde la aparición de TrickBot. Posiblemente los autores decidieron celebrar el aniversario con un cambio de imagen de algunos elementos significativos del núcleo .

Esta publicación será un análisis de la ofuscación actualizada utilizada por el módulo principal de TrickBot.

Analisis de comportamiento

El último TrickBot comienza sus acciones desde la desactivación de la supervisión en tiempo real de Windows Defender. Se realiza mediante la implementación de un comando de PowerShell:

Después de eso, podemos observar comportamientos típicos de TrickBot.

Como antes, el bot principal implementa múltiples instancias de svchost, donde inyecta los módulos.

La persistencia se logra agregando una tarea programada:

Se instala solo en% APPDATA%, en una carpeta con un nombre que depende de la versión del bot.

Los módulos cifrados se almacenan en la carpeta de Datos (nombre antiguo: Módulos), junto con su configuración:

Resulta que, recientemente, el cifrado de los módulos ha cambiado (y tuvimos que actualizar los scripts para decodificar ).

El nuevo elemento en la carpeta de instalación principal es el archivo de configuración, que viene con varios nombres, que parece ser elegido al azar de un grupo codificado. Es el nombre que aparece con mayor frecuencia es settings.ini (codificado), pero hay otras variantes, como: profiles.ini, SecurityPreloadState.txt, pkcs11.txt. El formato del archivo parece nuevo para TrickBot:

Podemos ver muchas cadenas, que a primera vista parecen codificadas / encriptadas. Pero como resultado, son entradas basura que se agregan para ofuscación. La configuración real se almacena entre ellos, en una cadena que parece codificada en base64. Su significado se explicará en la parte posterior de este post.

Dentro

Para comprender mejor los cambios, necesitamos profundizar en el código. Como siempre, la muestra original viene empaquetada, esta vez hay dos capas de protección que deben eliminarse antes de que obtengamos el robot principal .

El bot principal viene con 2 recursos: RES y DIAL, que son analógicos a los recursos utilizados anteriormente.

RES – es un archivo de configuración encriptado, en formato XML. Está cifrado de la misma manera que antes (usando AES, con clave derivada mediante rondas de hashing), y podemos decodificarlo usando un script antiguo: trickbot_config_decoder.py . (Tenga en cuenta que el primer DWORD en el recurso es un tamaño y no una parte de los datos cifrados, por lo que debe eliminarse antes de usar el script).

DIAL: es una clave pública de curva elíptica (curva ECC p-384), que se utiliza para verificar la firma de la configuración cifrada mencionada, después de que se descifre.

Ofuscación

En la primera edición , TrickBot no estaba del todo confuso, incluso podíamos encontrar todas las cadenas claras. Durante los dos años de evolución, ha cambiado lentamente. Hace varios meses, los autores decidieron ofuscar todas las cadenas, utilizando un algoritmo personalizado (basado en base64). Todas las cadenas ofuscadas se agregan a partir de una única lista codificada:

Cuando se necesita alguno de ellos, se selecciona por su índice y se pasa a la función de decodificación:

Ejemplo – cadena buscada por el índice 162 :

El proceso de deofuscación, junto con la utilidad utilizada , se describió aquí . Debido al hecho de que la API de las funciones de decodificación no cambió desde entonces, se puede utilizar el mismo método hasta hoy. La lista de cadenas deofuscado, extraída de la muestra analizada actualmente se puede encontrar aquí .

Además, podemos encontrar otros métodos más populares de ofuscación de cuerdas. Por ejemplo, algunas de las cadenas que se dividen en trozos, un DWORD por cada uno:

El mismo método fue utilizado por GandCrab, y se puede desenfocar con el siguiente script t.

Del mismo modo, las cadenas de Unicode se dividen:

La mayoría de las importaciones utilizadas por TrickBot se cargan dinámicamente. Eso hace que el análisis estático sea más difícil, porque no podemos ver directamente la imagen completa: los punteros se recuperan justo antes de que se usen.

Podemos resolver este problema de varias maneras, es decir, agregando etiquetas mediante un trazador automático . El archivo CSV / tags creado para una de las muestras analizadas está disponible aquí (se puede cargar en la base de datos de IDA con la ayuda del complemento IFL ).

La imagen que se muestra a continuación muestra el fragmento del código de TrickBot después de cargar las etiquetas. Como podemos ver, las direcciones de las funciones importadas se recuperan de la estructura interna en lugar de la Tabla de importación estándar, y luego se llaman a través de registros.

Aparte de los métodos de ofuscación mencionados, en el camino de su evolución, TrickBot va en la dirección de aleatorización de cadenas. Muchas cadenas codificadas en las versiones iniciales ahora son aleatorias o generadas por máquina víctima. Por ejemplo, el nombre de exclusión mutua:

Cifrado utilizado

En el pasado, los módulos estaban encriptados por AES en modo CBC . La clave utilizada para el cifrado se derivó del hashing de bytes iniciales del búfer . Una vez que conocemos el algoritmo, podríamos descifrar fácilmente los módulos almacenados junto con su configuración.

En la reciente actualización los autores decidieron complicarlo un poco. Sin embargo, no cambiaron el algoritmo principal, solo introdujeron una capa XOR adicional . Antes de pasar los datos a AES, primero se XORed con una cadena de 64 caracteres de longitud generada dinámicamente, a la que nos referiremos como la clave del bot:

La clave bot mencionada se genera por máquina víctima. Primero, se usa la función GetAdapterInfo:

La estructura recuperada (194 bytes) es procesada por SHA256 y luego el hash se convierte en cadena:

El algoritmo reconstruido para generar la clave del bot (y la utilidad para generar las claves) se puede encontrar aquí .

Esta clave se almacena en el archivo de configuración que se ha caído

Configuraciones de codificación

Como se mencionó anteriormente, las nuevas ediciones de TrickBot eliminan un nuevo archivo de configuración, que contiene información codificada. Ejemplo de la información que se almacena en la configuración:

0441772F66559A1C71F4559DC4405438FC9B8383CE1229139257A7FE6D7B8DE9 1085117245 5 6 13

Los elementos:

1. El BotKey (generado por máquina)

2. una suma de comprobación de una cadena de prueba: (0-256 bytes codificados con el mismo conjunto de caracteres): se utiliza para la validación de un conjunto de caracteres

3. tres números aleatorios

La línea completa está codificada en base64 mediante un conjunto de caracteres personalizado, que se genera basándose en el código codificado: «HJIA / CB + FGKLNOP3RSlUVWXYZfbcdeaghi5kmn0pqrstuvwx89o12467MEDyzQjT».

Sin embargo, incluso en este punto podemos ver el esfuerzo de los autores para evitar el uso de patrones repetibles. Los últimos 8 caracteres del conjunto de caracteres se intercambian aleatoriamente. El pseudocódigo del algoritmo de generación:

Aleatorización de los n caracteres:

Ejemplo de la transformación:

inp: “HJIA / CB + FGKLNOP3RSlUVWXYZfbcdeaghi5kmn0pqrstuvwx89o12467 M E Dyz Q jT ”

fuera: “HJIA / CB + FGKLNOP3RSlUVWXYZfbcdeaghi5kmn0pqrstuvwx89o12467 jD E zTy Q M ”

El decodificador se puede encontrar aquí:  trick_settings_decoder.py

Poco a poco mejorando la ofuscación

A los autores de TrickBot nunca les importó mucho la ofuscación. Con el tiempo, lentamente comenzaron a introducir sus elementos, pero, aparte de algunos giros, todavía no es nada complejo. Podemos esperar que esta tendencia no cambie rápidamente, y después de actualizar los scripts para nuevas adiciones, descodificar los elementos de Trick Bot será tan fácil para los analistas como lo fue antes.

Parece que los autores creen en un éxito basado en la cantidad de distribución, en lugar de en intentos de ser sigilosos en el sistema. También se enfocan en agregar constantemente nuevos módulos, para diversificar la funcionalidad (es decir, recientemente, agregaron un nuevo módulo para atacar los sistemas de Punto de Venta ).

Guiones

Scripts actualizados para decodificar módulos TrickBot para analistas de malware: 
https://github.com/hasherezade/malware_analysis/tree/master/trickbot

Indicadores de compromiso

Muestra de hash:

9b6ff6f6f45a18bf3d05bba18945a83da2adfbe6e340a68d3f629c4b88b243a8

 

La semana pasada, en Malwarebytes Labs, observamos los armarios de los navegadores que vuelan bajo el radar con una completa ofuscación ,  transporte y logística en nuestra serie sobre cómo comprometer la infraestructura vital, los inicios de sesión de Google que ahora requieren JavaScript , cómo crear un programa de entrenamiento de seguridad cibernética , y una introducción para Proceso Hacker .

Otras noticias de ciberseguridad.

• La policía holandesa ha logrado un gran avance en la interceptación de mensajes cifrados entre delincuentes. (Fuente: TellerReport)
• Si los terroristas lanzan un gran ataque cibernético, no lo veremos venir. (Fuente: El Atlántico)
• ¿Por qué las estafas de bitcoins falsas de Elon Musk se están difundiendo en Twitter ahora? (Fuente: ZDNet)
• VirtualBox Guest-to-Host se escapa del día cero y se explota en línea. (Fuente: HelpNetSecurity)
• Microsoft publica información sobre la protección de BitLocker de los ataques DMA. (Fuente: BleepingComputer)
• Más protecciones de experiencias publicitarias perjudiciales en la web. (Fuente: blog de cromo)
• Los usuarios de Android ahora enfrentan actualizaciones forzadas de aplicaciones, gracias a las nuevas herramientas de desarrollo de Google . (Fuente: ZDNet)
• Explotación activa de la vulnerabilidad ColdFusion recién parcheada (CVE-2018-15961). (Fuente: Volexity Threat Research)
• Los spammers piratean 100.000 enrutadores domésticos a través de UPnP vulns para crear una red de bots con envío de correo electrónico. (Fuente: El Registro)
• Google: las nuevas versiones de Android se ven menos afectadas por el malware. (Fuente: Estante de seguridad)

¡Mantente a salvo, todos!

Conozco a muy pocas personas, aparte de los abogados, que se entusiasman con los casos judiciales corporativos. Pero, quiero compartir con ustedes una decisión reciente que creo que es motivo de celebración para todos los usuarios de computadoras.

Esta semana, un juez del Tribunal de Distrito de los Estados Unidos falló a favor de Malwarebytes y desestimó una demanda presentada contra nosotros por Enigma Software Group USA LLC («Enigma»). Esencialmente, nos demandaron porque clasificamos dos de sus programas de software como Programas potencialmente no deseados (PUP).

Suena mundano, pero la realidad es que esto no solo es una victoria fundamental para Malwarebytes, sino que también para todos los proveedores de seguridad que continuarán teniendo protección legal para hacer lo correcto para sus usuarios. Esta decisión confirma nuestro derecho de habilitar a los usuarios al darles una opción sobre qué pertenece en sus máquinas y qué no.

Aquellos de ustedes que siguen este blog saben que durante años, hemos adoptado una postura agresiva contra los PUP . Continuamos supervisando todo el software conocido según los criterios PUP de Malwarebytes para que nuestros usuarios puedan elegir qué programas desea mantener o eliminar de su computadora. Creemos firmemente que se le debe permitir tomar esta decisión y continuaremos defendiendo su derecho a hacerlo.

Esta empresa se fundó en un problema real que experimenté y en un sueño que todos en Malwarebytes siguen afirmando: que los usuarios de computadoras tienen derecho a elegir qué hay en sus computadoras. A medida que los PUP se hicieron más frecuentes y problemáticos, también comenzamos a ofrecer protección contra ellos, una opción que ahora está respaldada por el Tribunal de Distrito de los Estados Unidos.

Si está interesado en el breve comunicado de prensa que compartimos hoy, puede encontrarlo aquí .

Una copia de la presentación del Secretario del Tribunal de Distrito de EE. UU. (Caso 5: 17-cv-02915-Documento EJD 105) se puede encontrar en línea aquí.

Process Hacker es una herramienta muy valiosa para usuarios avanzados. Puede ayudarles a solucionar problemas u obtener más información sobre procesos específicos que se ejecutan en un determinado sistema. Puede ayudar a identificar procesos maliciosos y decirnos más sobre lo que están tratando de hacer.

Información de fondo

Process Hacker es un proyecto de código abierto y la última versión se puede descargar desde aquí . El sitio también proporciona una descripción general rápida de lo que puede hacer con Process Hacker y su aspecto. A primera vista, Process Hacker se parece mucho a Process Explorer pero tiene más opciones. Y ya que es de código abierto, incluso puedes agregar algunos de los tuyos si puedes y quieres.

Instalación

Si solo desea comenzar a utilizar la herramienta, es tan fácil como descargar y ejecutar el instalador:

La versión actual en el momento de la escritura es 2.39.

Durante el proceso de instalación verá algunas opciones:

Acepta el eula

Elija la carpeta de destino para el programa.

Seleccione los componentes que desee. No requieren mucho espacio, por lo que no hay necesidad de ser exigentes.

Vale la pena estudiarlos y depende de cómo planea usar Process Hacker. La mayoría se puede cambiar después sin embargo.

¡Y ya está!

La pantalla principal

Cuando ejecutas Process Hacker esta es la pantalla principal.

En la configuración predeterminada, muestra la pestaña Procesos con todos los procesos en ejecución en la vista de árbol y en las listas:

• su identificador de proceso (PID)
• su porcentaje de uso de la CPU (CPU)
• su tasa total de E / S
• sus bytes privados
• el nombre de usuario con el que se está ejecutando el proceso
• una breve descripción

Al pasar el mouse sobre uno de los nombres del proceso, puede encontrar más información sobre ellos.

Las otras pestañas son Servicios , Red y Disco . Cada uno de los dos últimos muestra más información sobre los procesos con respecto a su uso de la red y el disco, respectivamente. La pestaña de servicios muestra una lista completa de los servicios y controladores actuales.

El significado de la codificación por colores de los procesos se puede encontrar y modificar en Hacker > Opciones > en la pestaña Resaltado .

La opción para cambiar al Administrador de tareas de reemplazo con Process Hacker se puede encontrar en Hacker > Opciones > en la pestaña Avanzado .

Mangos de liberación

Una opción muy útil que Process Hacker tiene para ofrecer es que puede ayudarlo a eliminar aquellos archivos que simplemente no quieren desaparecer porque están «en uso por otro proceso».

Process Hacker puede ayudarte a identificar ese proceso y romper el empate. Aquí está el procedimiento:

• En el menú principal, haga clic en Buscar manejadores o DLLs.
• En la barra de filtros , escriba el nombre completo del archivo o una parte de ese nombre, luego haga clic en Buscar
• En los resultados, busque el nombre de archivo exacto y haga clic con el botón derecho en esa línea.
• En el menú contextual, seleccione Ir al proceso de propiedad.
• El proceso se resaltará en la ventana Procesos .
• Haga clic derecho en el proceso del marcador y seleccione Terminar
• Tenga en cuenta la advertencia en el mensaje de que los datos podrían perderse y tenga en cuenta que Process Hacker puede cerrar procesos donde otros administradores de tareas pueden fallar
• Si elige finalizar el proceso, puede intentar eliminar de nuevo el archivo bloqueado

 

Escapando browlocks

Process Hacker también puede ayudarlo a escapar de algunos de los sitios que utilizan tácticas de bloqueo de cerrojo . Por ejemplo sitios que usan este script de inicio de sesión:

El objetivo de los actores de amenazas es lograr que el visitante del sitio permita primero las notificaciones y, al final, que instale una de sus extensiones. Malwarebytes generalmente detecta estas extensiones como PUP.Optional.ForcedInstalledExtensionFF.Generic. Puede encontrar más detalles sobre estas extensiones en esta guía de eliminación para una extensión sin nombre que proviene de browser-test.info .

Pero de todos modos, para cerrar una pestaña de este tipo en Firefox normalmente se requiere que cierre Firefox por completo, perdiendo todas las demás pestañas abiertas o, si tiene la opción Restaurar sesión anterior habilitada, recupérelas todas, incluido el bloqueo de cejas. Con Process Hacker puedes mirar en la pestaña de Red:

Una vez que haya encontrado la parte culpable, seleccione la línea que muestra el contacto a la IP o al dominio del sitio de bloqueo de cejas. Utilicé tracert para determinar la IP de ffkeitlink.cool. Haga clic con el botón derecho en esa línea, elija Cerrar y esto interrumpirá temporalmente la conexión, impidiendo que el script actualice la solicitud todo el tiempo. Eso le da la oportunidad de cerrar la pestaña y continuar sin tener que forzar el proceso de Firefox.

Dumping cadenas de memoria

Puede utilizar Process Hacker para crear volcados de memoria de procesos. Los analistas usan estos volcados para buscar cadenas y usan scripts o reglas de Yara para hacer una clasificación inicial de un proceso. ¿Es malware? Si es así, ¿qué tipo de malware? ¿Es después de la información, qué información y dónde la envía?

Haga clic con el botón derecho en el proceso en ejecución para el que desea crear un volcado de memoria y seleccione Crear archivo de volcado … y luego use la ventana del explorador para buscar la ubicación donde desea guardar el volcado. El volcado de memoria creado por Process Hacker tendrá la extensión dmp. Dependiendo de lo que esté buscando, el archivo dmp se puede abrir en un editor hexadecimal, un editor de texto o mimikatz (si busca credenciales).

Puede crear los mismos volcados de memoria con Process Explorer, pero Process Hacker también incluye la compatibilidad con .NET que Process Explorer no.

Encontrar recursos de cerdos

Como con la mayoría de los programas de este tipo que identifican recursos, los cerdos son fáciles.

Haga clic en el título de la CPU sobre la columna y la columna se ordenará según el uso de la CPU, que le mostrará si un proceso lo está ralentizando y cuál. El mismo se puede hacer de bytes privados y I O tasa total / .

Versátil y potente

Process Hacker es una herramienta muy versátil que tiene mucho en común con Process Explorer. Dado que tiene algunas opciones más y es más potente que Process Explorer, los usuarios avanzados pueden preferir Process Hacker. Los usuarios menos avanzados que temen las posibles consecuencias de la potencia adicional pueden querer quedarse con Process Explorer. Si necesita ayuda con Process Hacker, tienen un foro bastante activo en el que puede encontrar ayuda.

Notas:

• Algunos AV señalan a Process Hacker como Riskware o potencialmente no deseado porque puede terminar muchos procesos, incluidos algunos que pertenecen al software de seguridad. Malwarebytes no detecta a Process Hacker como malicioso o potencialmente no deseado.
• El proceso de mbamservice no puede ser detenido permanentemente por Process Hacker si tiene el módulo de autoprotección habilitado. Puede encontrar esta configuración en  Configuración  >  pestaña Protección>  Opciones de inicio .

Usuarios de Google: en noticias que pueden sonar alarmantes, ahora es un requisito para que habilite JavaScript.

¿Por qué? Cuando su nombre de usuario y contraseña se ingresan en la página de inicio de sesión de Google, Google realiza una evaluación de riesgos y solo permite el inicio de sesión si no hay nada sospechoso. Recientemente, Google comenzó a mejorar este análisis y ahora requiere JavaScript para ejecutar su evaluación. ¿Desea utilizar algunas de esas mejoras de seguridad integrales para su cuenta? Entonces JavaScript debe estar habilitado o no podrás iniciar sesión. JavaScript es ahora tu amigo para siempre.

¿Qué es JavaScript?

Si utiliza sitios web como portales o plataformas de redes sociales, es probable que se encuentre con JavaScript todo el tiempo. Es un lenguaje de programación utilizado para todo tipo de efectos interactivos en juegos y operaciones básicas como inicios de sesión. Marcha en segundo plano junto con hojas de estilo en cascada y HTML para una experiencia de navegación sólida.

Ahora es una parte central del pastel de inicio de sesión de Google, y absolutamente tendrá que probar una parte.

¿Que ha cambiado?

Al utilizar la página de inicio de sesión de Google, no obtendrá más si tiene JavaScript desactivado. Esto podría ser frustrante para algunos usuarios, dada la cantidad de datos importantes que se pueden almacenar en una cuenta de Google. ¿Por qué ha subido el puente levadizo? En pocas palabras, para mantenerse a salvo de las numerosas estafas y ataques dirigidos a los usuarios de Google.

Las cuentas de Google tienen una gran variedad de medidas de seguridad para mantener a los posibles comprometidos. Si alguien logra obtener su contraseña e intenta iniciar sesión como usted, Google ejecuta algunas comprobaciones. Si marcan cierta actividad inusual, como los inicios de sesión de otro país, solicitarán una verificación adicional.

Google no puede hacer nada de esto sin tener JavaScript activado y en ejecución, por lo que, para avanzar, tendrá que encenderlo .

¿Es esto un problema?

Quiero decir … no, no creo que lo sea. JavaScript aparece en muchos ataques , y no queremos que nadie se vuelva complaciente. Sin embargo, es posible impedir innecesariamente su propio comportamiento de navegación preferido.

Hay una escuela de pensamiento de seguridad que se parece un poco al nihilismo de seguridad. Esencialmente, todo es una amenaza y debemos reducir la superficie de ataque. Bien vale. El problema es que, para algunos, esto se convierte en un juego de «eliminar absolutamente todo del dispositivo». ¿En qué momento nos detenemos y miramos con asombro nuestra costosa y no funcional caja?

Probablemente tenga JavaScript habilitado ahora, a menos que esté muy centrado en la seguridad o muy interesado en tener los tiempos de carga más rápidos posibles. Por lo general, es una de las quejas más comunes relacionadas con las extensiones del bloqueador de scripts. “Los bloqueé, y nada funciona. ¿Ahora que?»

El sol tiene el bloqueador disparado directamente en su corazón, eso es lo que. Si desea eliminar la funcionalidad de los navegadores, siempre habrá un precio que pagar. Por ejemplo, las primeras herramientas del bloqueador de anuncios / bloqueador de secuencias de comandos a menudo hacen que todo quede casi inutilizable. Afortunadamente, los bloqueadores de anuncios han mejorado su juego y ahora son parte de una rutina de higiene de ciberseguridad saludable y equilibrada.

Buenas noticias, la elección es fácil.

Google estima que es probable que el impacto de su nuevo requisito de JavaScript sea pequeño: se supone que solo el 0.1% de sus usuarios lo han apagado. En este punto, tendrán que tomar una decisión.

Esto no es una decisión absoluta de «una cosa u otra». No hay absolutamente nada que impida que alguien habilite JavaScript solo para inicios de sesión, y luego se apaga. Sí, hay exploits de JavaScript, pero hay un exploit para casi todo. Es poco probable que encuentre algún tipo de problema al encenderlo solo para iniciar sesión.

Como se mencionó en el blog Daily Swig , es probable que los surfistas como los que usan TOR sean los más afectados. Si está en TOR y trata de usar los servicios de Google, es posible que deba obligarse a cambiar. Si aún no usa un navegador alternativo para buscar en Google, quizás en  última instancia, es posible que tenga que buscar otro proveedor.

Para todos los demás, esto es algo bueno y ayudará a mantener sus cuentas más seguras a largo plazo.

Antes, cuando era un despachador de una empresa de mensajería y camiones, solíamos bromear con el hecho de que solo hacía falta unos pocos accidentes estratégicamente ubicados para provocar un embotellamiento que podía detener la circulación por completo en la ciudad de Rotterdam.

Rotterdam es uno de los puertos más importantes del mundo y, en consecuencia, hay mucho tráfico entrando y saliendo. Las carreteras alrededor de la ciudad pueden manejar el tráfico normal, pero se congestionan durante las horas pico y cuando ocurren accidentes. Si vives o trabajas cerca de una ciudad, es probable que también te encuentres en un atasco de tráfico regularmente.

En nuestra serie sobre infraestructura vital , esta vez estamos considerando el transporte. Y si piensa que el transporte no es tan vital, está subestimando los procesos logísticos que hacen posible llegar y llegar a diferentes lugares.

En este post, nos centraremos en el esqueleto principal de nuestra infraestructura logística: el transporte masivo de mercancías a través de la superficie de la tierra. ¿Cómo llegan los productos que usamos todos los días a los almacenes, tiendas o fábricas que los necesitan? Trataremos el transporte aéreo y público por separado, ya que utilizan infraestructuras completamente diferentes para funcionar.

Envío por mar o por mar

Muchos de los productos que consumimos se fabrican muy lejos de casa. La primera etapa de su viaje suele ser transportada por barco a través de aguas internacionales. Cuando se da cuenta de que los buques portacontenedores más grandes pueden transportar más de 20,000 contenedores de 20 pies, también puede imaginar la cantidad de papeleo y computación necesarios para que cada uno de esos contenedores llegue al destino correcto. Y cada uno de ellos debe pasar por la aduana, generalmente dos veces. Las aduanas querrán saber exactamente qué contienen o demorarán el transporte de los contenedores hasta que lo hagan.

Lanzar una llave en una máquina bien engrasada como esa puede tener graves consecuencias cuando Maersk, una de las compañías navieras más grandes, aprendió de la manera más difícil cuando su organización fue golpeada por NotPetya . Las estimaciones de los daños causados ​​por una «grave interrupción del negocio» fueron de alrededor de $ 300 millones. Esta interrupción también causó un retraso en el suministro masivo, desde horas hasta varios días.

Los sistemas de información crítica utilizados durante estos procesos podrían ser considerados como un medio para interrumpir la red logística, lo que puede ralentizar o incluso detener el sistema económico de todo un país.

Trenes y transporte fluvial.

Dependiendo de las conexiones e infraestructura existentes, los bienes se transportarán en masas desde puertos a destinos interiores típicos en tren o barco. A diferencia de la conducción, estos modos de transporte permiten algunas formas de maniobrar alrededor de una parte bloqueada de la ruta hacia el destino.

Dado que el transporte por tren o por río se utiliza principalmente para grandes cantidades de mercancías, también son viables para ataques en el lado administrativo. Además, los vectores de ataque físico pueden dificultar el transporte y alterar la logística. Algunos ejemplos incluyen:

• Cortando el poder a una vía férrea
• Desactivar las señales ferroviarias.
• Desactivación de los sistemas de gestión del tráfico ferroviario.
• Obtener control sobre las esclusas u otros medios para controlar el nivel del agua en ríos y canales
• Atascar los radares, por lo que los barcos tendrán que reducir la velocidad para evitar colisiones

Transporte por carretera

Si bien un camión es pequeño en comparación con los modos de transporte que hemos analizado hasta ahora, los ataques a las principales empresas de entrega como FedEx pueden ser altamente efectivos. De hecho, los daños debidos a la infección NotPetya en su división TNT fueron aproximadamente en la misma región que los estimados por Maersk después de la misma infección.

A pesar de que los camiones tienen más opciones para evitar bloqueos de carreteras que trenes y embarcaciones fluviales, los frenazos pueden ser causados ​​por ataques tácticos en importantes infraestructuras, como túneles, puentes e intersecciones de carreteras. Y no necesitas causar accidentes para lograr esto. La piratería de los sistemas de control de tráfico es mucho menos peligrosa y, posiblemente, un medio de interrupción más eficaz si puede implementarlo a gran escala.

Partes especiales de la infraestructura logística.

La primera parte que debemos tener en cuenta son los terminales de contenedores. La utilización diaria promedio de las grandes terminales de contenedores en Europa es de unos 10.000-20.000 contenedores, lo que da como resultado unos 15.000 movimientos por día. Manejar un buque portacontenedores de tamaño Post Panamax requiere aproximadamente 150 movimientos por hora, lo que significa usar cinco grúas que pueden manejar 30 movimientos por hora cada uno. La planificación y el seguimiento de todos estos movimientos están muy informatizados y, por lo tanto, son vulnerables a los ataques cibernéticos.

De los miles de puertos en todo el mundo, solo unos cien tienen una importancia global. Estos puertos son un objetivo atractivo para el ataque.

La segunda parte es el abastecimiento de combustible, que es una parte esencial del transporte. Los camiones y barcos eléctricos siguen siendo un producto raro, por lo que la mayoría de ellos necesitarán repostar a intervalos regulares. Cortar el suministro de petróleo a un país que no tiene la capacidad de producir lo suficiente es una forma segura de sofocar el transporte y paralizar su economía.

Amenazas

La mayoría de los ataques cibernéticos que hemos visto hasta la fecha que han tenido un gran impacto en los sistemas de transporte son los  ataques de ransomware . Estas infecciones son difíciles de predecir y, en algunos casos, difíciles de detener. Pero puede estar seguro de que la infraestructura logística será un objetivo en el caso de una guerra cibernética a gran escala.

Hasta el momento, el conocimiento de este hecho por sí solo no ha sido suficiente para implementar contramedidas adecuadas, al menos no lo suficiente para contrarrestar una infección de ransomware como NotPetya. Y no olvidemos que WannaCry lanzó la red ferroviaria de Alemania en el caos , interrumpida unidad de entrega de FedEx , y causó estragos entre muchos otros.

Si se puede hacer mucho daño con un ataque de ransomware sin sentido, ¿puedes imaginar qué tipo de destrucción podría causar una APT dirigida ? Si puedes obstaculizar la capacidad del enemigo para mover mercancías, suministros y tropas, eso es una gran ventaja en la guerra. Este hecho sobre la logística militar se conoció e implementó ya en la Guerra Civil Americana (1861–65), donde ambos ejércitos utilizaron los ferrocarriles ampliamente para el transporte de personal, suministros, caballos y mulas, y piezas pesadas de campo. Ambas partes intentaron interrumpir la logística del enemigo destruyendo el seguimiento y los puentes.

Pagando el precio

En una línea de negocios como la logística, donde cada centavo cuenta, la ciberseguridad puede ser una de las últimas cosas que preocupan a los gerentes. Pero eso no lo hace menos importante. El daño causado por una infección de ransomware en toda la organización puede poner a las empresas fuera del negocio. Tener que reconstruir su red mientras que el negocio principal debe realizarse de forma manual (y de memoria) no solo es frustrante; es costoso Recuperarse de un ataque cibernético requiere tiempo y atención que no se puede gastar en otras tareas.

Mantener la infraestructura de transporte segura es una tarea del gobierno, ya que también es una cuestión de seguridad nacional proteger estos activos durante un ataque cibernético. La tecnología detrás de nuestra infraestructura juega un papel importante en la determinación tanto de las capacidades logísticas como del control que tenemos sobre ellas.

El gasto en mejoras infraestructurales críticas debe incluir la ciberseguridad como una consideración importante. Las empresas de logística, desde las principales líneas navieras hasta las empresas de camiones locales, son conscientes de la importante tarea que están cumpliendo y no deben evitar echar un buen vistazo a sus medidas de seguridad existentes. ¿Reflejan la importancia de su negocio para la economía general de la región? ¿Están preparados para sobrevivir a un ataque de ransomware ? ¿Su personal está capacitado para reconocer los intentos de phishing ? ¿Están sus sistemas informáticos protegidos contra malware y ataques dirigidos?

Confíe en nosotros, la primera vez que necesite la protección, una sólida política de ciberseguridad, un programa de capacitación para empleados y una solución técnica que ya se habrá amortizado mil veces.

¡Mantente a salvo, todos!

La semana pasada, en Malwarebytes Labs, vimos una aplicación de criptomoneda roma que instalaba puertas traseras , nos sumergimos en el mundo de la seguridad de las impresoras , exploramos los ajustes de privacidad del navegador , destacamos una brecha relacionada con un festival de música e introdujimos Malwarebytes para Chromebook .

Otras noticias de ciberseguridad.

• Hacks de memoria ? (Fuente: Lista segura)
• Gandcrab: enormemente popular (Fuente: BitDefender)
• Grandes multas para personas que llaman en frío (Fuente: ICO)
• Micro: proveedor de bits violado (Fuente: El Registro)
• Espías acusados ​​de robo de planos (Fuente: Departamento de Justicia de los Estados Unidos)
• Seguridad de Google Home (in) (Fuente: Jerry Gamblin)
• Microsoft, Amazon más suplantado en ataques de correo electrónico (fuente: BetaNews)
• Las técnicas exponen el historial del navegador (fuente: Help Net Security)
• Los micrófonos de Mac se apagan cuando la tapa está cerrada [PDF] (Fuente: Apple)
• Picos privados de salud y phishing (fuente: ZDNET)

¡Mantente a salvo, todos!