BROWSER IN THE BROWSER (BITB): Nueva técnica de phishing que puede hacerlo indetectable

Una técnica de phishing que simula una ventana de navegador dentro de otro navegador para falsificar un dominio legítimo.

El pasado 15 de marzo de 2022 Mr.d0x compartió una nueva técnica que pretende hacer el phishing más difícil de detectar.

El Phishing, en la mayoría de los casos, utiliza como cebo ataques de ingeniería social mediante refinadas técnicas más eficaces y difíciles de detectar. Este es el caso de Browser in the Browser (Ataque de navegador en el navegador), una técnica novedosa de phishing, donde el atacante busca explotar el ataque aprovechando las opciones de inicio de sesión único (SSO) integradas en diferentes sitios web.

Las opciones de inicio de sesión único las podemos ver como “Iniciar sesión con…” “Sign in with…”, …etc. Estas opción de SSO generan pop-ups para que los usuarios de manera rápida puedan iniciar sesión a través de su cuenta en plataformas terciarias.

Una vez se hace clic en el botón “iniciar sesión”, se abre una nueva ventana del navegador donde los usuarios pueden loguearse. Esta nueva ventana del navegador aísla el proceso de inicio de sesión para que el sitio web que usa OAuth nunca vea las credenciales de inicio de sesión de los usuarios. Aislar el proceso de inicio de sesión es una medida deseable de seguridad y privacidad, se demostró que los malos cibercriminales pueden imitar esta técnica de aislamiento particular para ocultar los ataques de phishing. 

¿Cómo funciona?

A menudo, cuando un usuario inicia sesión en un sitio web aparece una ventana emergente que pide que que se autentique. La siguiente imagen muestra la ventana que aparece cuando alguien intenta iniciar sesión en Canva con su cuenta de Google. Como se puede observar, en la pantalla de Canva, se ofrece la opción de continuar con diferentes servicios, y al elegir uno se desplegará una ventana emergente, en la que se procede a autenticarse.

Un ataque Browser in the Browser se realiza mediante una réplica de una ventana emergente similar a la que sale al iniciar sesión con SSO y de esta forma a partir del pop-up de login ilegítimo, se roban las credenciales. La apariencia de estos pop-ups falsos puede ser exactamente idéntica a uno original e incluyendo la URL, lo que hace que este ataque sea más complicado de detectar. Generalmente, las réplicas de ventanas se crean de una manera muy sencilla para los atacantes usando HTML/CSS básico; estos simulan el diseño de la ventana con un iframe que apunte al servidor malicioso que aloja la página de phishing. 

La imagen de abajo muestra la ventana falsa comparada con la ventana real, bastante creíble para quien no se fije en los mínimos detalles.

sitio real y de phishing

Desde el HTML, se puede cambiar la URL de forma muy sencilla, y como se puede ver es posible poner lo que se quiera. Para buscar realismo, simplemente bastará con visitar alguna página en la que se genere el pop-up legítimo y copiar la URL para adaptarla.

Fuente: Keyur Talati Security Analyst – WeSecureApp

Esta técnica hace más complicado de detectar un caso de phishing, y por tanto hace que aumente su efectividad. Por ello, prácticas como el MFA o el 2FA ganan valor para evitar cualquier tipo de ataque para sus datos o los de su organización.

La única defensa contra este tipo de ataque de phishing moderno es la conciencia.

La evidencia durante los últimos años ha demostrado que la verdadera clave para la mitigación de incidentes de ciberseguridad, en este caso de Phishing, es la sensibilización y concientización. Tenga en cuenta algunas mitigaciones como:

  • Utilizar siempre uno de gestores de contraseñas y autenticación multifactor.
  • Instalar un antivirus robusto.
  • Supervisar frecuentemente los registros del sistema y de la red.
  • Revisar con detalle las ventanas emergentes para verificar su autenticidad.
  • Implementar las mejores prácticas de seguridad.
Noticias falsas en tiempos de crisis: Desinformación

En el 2022 el público occidental consumirá más noticias falsas que verdaderas y no habrá suficiente capacidad ni material ni tecnología para eliminarlas.

Gartner Inc.

Mucho se habla de la actual crisis en Europa del Este y de las ofensivas militares que se ven en las noticias durante los últimos días, sin embargo, estas podrían no ser la única amenaza, en realidad los ataques cibernéticos y la desinformación en línea están pasando a primer plano, pues se estima que desde la pandemia hasta el día de hoy donde el tema principal es la crisis Rusia-Ucrania, las fake news han aumentado en más de un 50%.

CONOZCA MÁS EN:

Pero, ¿Por qué se distribuyen las noticias falsas y cuál es su impacto a nivel mundial?

En la actualidad, miles de publicaciones relacionadas al conflicto Rusia-Ucrania han acumulado millones de visitas en las redes sociales, muchas de estas reales y verificadas, pero otras calificadas como fake news o noticias falsas. Estas noticias falsas se pueden clasificar como noticias erróneas y desinformación: las noticias erróneas son información falsa compartida por alguien que erróneamente cree que es un hecho; la desinformación, sin embargo, se difunde deliberadamente y siempre con un objetivo.

Por ejemplo, en días anteriores se publicó y viralizó un video que sugería que el presidente ucraniano Volodymyr Zelensky se había unido a las tropas para tomar un café, sin embargo, a pesar de que es un video real, es una grabación antigua, antes del conflicto actual.

La guerra contra la desinformación está en pleno apogeo. Varias empresas a nivel mundial se han puesto en la tarea de identificar y bloquear aquellos usuarios que tengan como propósito desinformar a otras personas que naveguen en internet. Tal como Google y Facebook, estas organizaciones han restringido sitios web que se hacían pasar por medios de noticias independientes y creaban personas falsas en las plataformas de redes sociales, incluidas Facebook, Instagram, Twitter, YouTube, Telegram, Russian Odnoklassniki y VK.

Muchas de estas noticias erróneas y falsas tienen como gancho videos o fotos antiguas que se muestran como actuales y atrapan a los usuarios por su parecido superficial con cualquier situación relevante. Un ejemplo claro es la siguiente imagen de una explosión de gas en Magnitogorsk (2018) que se relacionaron en la red con la destrucción de un edificio residencial en Járkiv (Ucrania) el pasado jueves.

A wounded woman stands outside a hospital after the bombing of the eastern Ukraine town of Chuguiv on February 24, 2022
Los encabezados tenían como descripción a una mujer que supuestamente resultó herida por bombardeos en Ucrania, generando afirmaciones falsas en internet.
Las afirmaciones de que las imágenes de esta mujer herida en Chugúyivson pertenecen a una explosión de gas en Rusia en 2018 son incorrectas.
En realidad, los fotógrafos de la imagen confirmaron que fue tomada el 24 de febrero de 2022 y no durante los últimos días en Ucrania, un hecho confirmado por los metadatos de las imágenes que muestran la misma fecha de creación (BBC, Reality Check).

¿A qué se debe el incremento de noticias falsas?

El crecimiento exponencial de la difusión de FAKE NEWS se debe, entre otros motivos, a su incorporación dentro de los discursos políticos en los últimos años, convirtiéndose en un fenómeno global que ya tiene una gran repercusión sobre procesos democráticos y sobre acontecimientos relevantes. Una noticia falsa está determinada por su objetivo: a través de ellas se puede ganar dinero o influir en el pensamiento de los demás usuarios en la red.

Los medios de comunicación han incrementado enormemente el potencial para que la información llegue a todos los usuarios, lo que ha permitido una proliferación de ‘fake news’, sin embargo, hay que tener en cuenta que no están limitadas a los medios informativos porque están presentes prioritariamente en los redes sociales, como Facebook o WhatsApp, el segundo siendo el canal de viralización más alto.

Según un estudio del Instituto Tecnológico de Massachusetts (MIT) las noticias falsas tienen hasta un 70% más de posibilidades de ser compartidas que las verdaderas, ya que este tipo de información utiliza las interacciones en las redes sociales y los algoritmos para alcanzar sectores ideológicos concretos.

Se presume que hay grupos y organizaciones detrás de esta red de fake news, que realizan pagos para que terceros creen y difundan información falsa utilizando las interacciones y algoritmos en redes sociales para diseminar contenidos a sectores concretos. Esta técnica, se complementa con el uso de ‘bots’, un ‘software’ automatizado que replica los mensajes haciéndose pasar por personas.

Oficina de Transferencia de Resultados de Investigación

¿Qué se está haciendo al respecto?

Un caso específico directamente relacionado con Colombia, tiene que ver con la compañía Meta, que reúne a las redes sociales Facebook, Instagram y WhatsApp. Meta anunció que durante el periodo electoral en Colombia de 2022, activará un equipo de respuesta rápida dedicado a identificar posibles violaciones a sus políticas, entre ellas, difusión de información falsa.

Así como Meta, empresas a nivel global se han encargado de desarrollar estrategias y campañas que les permitan mitigar los impactos de la difusión masiva de noticias falsas.

La estrategia de Meta abarca el reducir las noticias falsas eliminando las cuentas que las divulgan e interrumpiendo cualquier incentivo económico que estas puedan recibir. Si una página o un dominio crea o comparte reiteradamente información errónea, reducen de manera significativa su distribución.

  1. Desconfíe de los títulos. Las noticias falsas suelen tener títulos llamativos con todas las palabras en mayúsculas y signos de admiración. Si un título contiene afirmaciones sorprendentes y poco creíbles, es probable que se trate de información falsa.
  2. Observe con atención el enlace. Un enlace falso o que imita uno original puede ser una señal de advertencia que indica que se trata de una noticia falsa. Muchos sitios de noticias falsas realizan pequeños cambios en el enlace de fuentes de noticias auténticas para imitarlas. Puede visitar el sitio web para comparar el enlace con fuentes establecidas.
  3. Investigue las fuentes. La noticia debe estar escrita por una fuente en la que confíe y que tenga una reputación de ofrecer información verdadera. Si la noticia proviene de una organización desconocida, verifica la sección “Información” para obtener más detalles.
  4. Verifique si hay problemas con el formato. Muchos sitios de noticias falsas contienen errores ortográficos o diseños extraños.
  5. Preste atención a las fotos. Las noticias falsas suelen contener imágenes o videos manipulados. También puede ocurrir que la foto sea auténtica, pero esté fuera de contexto. Puede buscar la imagen para verificar de dónde proviene.
  6. Verifique las fechas. El orden cronológico de las noticias falsas puede resultar ilógico, o incluso pueden estar alteradas las fechas de los eventos.
  7. Compruebe la evidencia. Comprueba las fuentes del autor para confirmar que sean precisas. Si no se aportan pruebas o se confía en expertos cuya identidad no se menciona, es posible que la noticia sea falsa.
  8. Consulte otros informes periodísticos. Si ningún otro medio está reportando la noticia, es posible que sea falsa. Si aparece en varias fuentes de confianza, es más probable que sea verdadera.
  9. ¿La noticia es un engaño o una broma? En ocasiones, suele ser difícil distinguir una noticia falsa de una publicación humorística o satírica. Compruebe si la fuente de donde proviene suele realizar parodias y si los detalles y el tono de la noticia sugieren que puede tratarse de una broma.
  10. Algunas noticias son falsas de forma intencional. Reflexiona acerca de las noticias que lees y comparte solo las que sabes que son creíbles.

Febrero
DELL MICROSFT AZURE
CVE-2021-36302
Vulnerabilidad Crítica en DELL para Microsoft Azure
Gravedad 9.9

.

.

VULNERABILIDAD SAP
CVE-2022-22536
Vulnerabilidad crítica en SAP
Internet Communication Manager (ICM)
Gravedad 10.0

.

.

VULNERABILIDAD APPLE
CVE-2022-22620
Vulnerabilidad de día cero en Apple
Gravedad 9.6

.

.

CAMPAÑA TA2541
ALERTA
Campaña de ataques del grupo TA2541
Gravedad 10.0

.

.

MICROSFOFT EDGE CHROMIUM
CVE-2022-0609
Vulnerabilidad de Día Cero en Microsoft Edge (Chromium-based)
Gravedad 10.0

.

.

MAGENTO ADOBE COMM
CVE-2022-24086 CVSSv3 9.8
Vulnerabilidad en Magento y Adobe Commerce
Gravedad 9.8

.

.

previous arrow
next arrow

Vulnerabilidad crítica en Magento y Adobe Commerce.

CVE-2022-24086 CVSSv3 9.8

Las versiones 2.4.3-p1 (y anteriores) y 2.3.7-p2 (y anteriores) de Adobe Commerce están afectadas por una vulnerabilidad de Día Cero de validación de entrada incorrecta durante el proceso de pago. La explotación de este problema no requiere la interacción del usuario y podría resultar en la ejecución de código arbitrario.

Recursos afectados: Este fallo afecta a las versiones de Magento Open Source y Adobe Commerce 2.4.3-p1 y 2.3.7-p2 y anteriores, a excepción de las versiones previas a la 2.3.3 de Adobe Commerce.

Recomendaciones: actualizar a la última versión inmediatamente. El parche está disponible para descargar aquí: https://www.zerodayinitiative.com/advisories/ZDI-22-081/

Vulnerabilidad de Día Cero en Microsoft Edge (Chromium-based)

CVE-2022-0609 (primer día cero de Chrome de 2022)

Google ha publicado correcciones para ocho fallos de seguridad en el navegador Google Chrome, incluida una vulnerabilidad de criticidad alta que estaría siendo explotada activamente. Esta vulnerabilidad del tipo use-after-free reside en el componente de animación y, en caso de ser explotada con éxito, permitiría a un atacante ejecutar código arbitrario de manera remota, así como alterar información legítima.

Esta vulnerabilidad afecta a todos los usuarios de Chrome, independientemente del sistema operativo que se esté ejecutando. 

Recursos afectados: Afectan al gestor de archivos, ANGLE, GPU y Webstore API, así como una vulnerabilidad del tipo heap buffer overflow en Tab Groups y una implementación inapropiada en Gamepad API.

Recomendaciones: actualizar a la última versión inmediatamente. El parche está disponible para descargar aquí:https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html

Campaña de TA2541.

Campaña de ataques del grupo TA2541

Utilizan TTPs (Terrorist Tactics, Techniques, and Procedures). Su vector de entrada habitual identificado son campañas de phishing en inglés que emplean temáticas relacionadas con la aviación, el transporte o los viajes. En estos correos se incluyen adjuntos que descargan ya los payloads de distintos RATS, fundamentalmente familias que se pueden adquirir de forma sencilla en foros de cibercrimen, destacando por encima del resto AsyncRAT, NetWire y WSH RAT.

Recursos afectados: Tienen como objetivo sectores como la aviación, el aeroespacial, transporte, manufactura y defensa, en las regiones de Norteamérica, Europa y Oriente Medio. La actividad de este grupo se remontaría a 2017

Recomendaciones: Tener prevención con sus servicios. Para más información https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight

Vulnerabilidad de día cero en Apple.

CVE-2022-22620

Esta vulnerabilidad pertenece a la clase Use-After-Free (UAF), por lo tanto, está relacionada con el uso incorrecto de la memoria dinámica en las aplicaciones. Su explotación permite al atacante crear contenido web malicioso, cuyo procesamiento puede dar lugar a la ejecución de código arbitrario en el dispositivo de la víctima.

Recursos afectados: macOS, iOS y Linux. En particular, todos los navegadores de iOS y iPadOS se basan en este motor de código abierto, es decir, no solo el Safari predeterminado de iPhone, sino también Google Chrome, Mozilla Firefox y cualquier otro.

Recomendaciones:

Se recomienda a los usuarios actualizar sus productos a las últimas versiones de inmediato:

  • iOS 15.3.1 y iPadOS 15.3.1: para iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores, y iPod touch (7.ª generación)
  • macOS Monterey 12.2.1: para macOS Monterey

También se recomienda a los usuarios que habiliten las actualizaciones automáticas de software yendo a Configuración > General > Actualizaciones de software > Habilitar actualizaciones automáticas.

Hay más información disponible aquí:
https://support.apple.com/en-us/HT213093
https://support.apple.com/en-us/HT213092

Vulnerabilidad crítica en SAP Internet Communication Manager (ICM).

CVE-2022-22536

Esta vulnerabilidad afecta a las aplicaciones de SAP que utilizan SAP Internet Communication Manager (ICM). 

La explotación exitosa de la vulnerabilidad podría permitir que un atacante no autenticado use paquetes con formato incorrecto que engañen a los servidores SAP para que expongan datos confidenciales.

Recursos afectados:

  • SAP Content Server versión 7.53;
  • SAP NetWeaver y ABAP Platform versiones KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.42EXT, 7.22 y
  • SAP Web Dispatcher versiones 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87

Recomendaciones: Se recomienda a los administradores de los productos afectados que instalen las actualizaciones de seguridad más recientes de inmediato. Hay más información disponible aquí: https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022

Vulnerabilidad Crítica en DELL para Microsoft Azure

CVE-2021-36302

Todas las versiones de Dell EMC Integrated System para Microsoft Azure Stack Hub contienen una vulnerabilidad de escalada de privilegios. Un usuario malicioso remoto con credenciales de JEA de nivel estándar puede explotar potencialmente esta vulnerabilidad para elevar los privilegios y hacerse cargo del sistema.

Recursos afectados: Dell EMC Integrated System for Microsoft Azure Stack Hub, Dell EMC 2018 and earlier

Recomendaciones: Tener prevención con sus servicios. Para más información https://www.dell.com/support/kbdoc/es-co/000191165/dsa-2021-178-dell-emc-integrated-solution-for-microsoft-azure-stack-hub-security-update-for-a-just-enough-administration-jea-vulnerability

Predicción de Vulnerabilidades 2022 y la importancia de las actualizaciones de seguridad

Las organizaciones dependen sí o sí de diferentes aplicativos de software que durante su vida útil pueden tener diferentes vulnerabilidades o fallos de seguridad, que pueden llevar a la exposición de información confidencial, entrada de software malicioso o dar acceso a ciberdelincuentes. Para dar solución a estos fallos, los fabricantes publican actualizaciones de seguridad y parches para reparar los fallos de seguridad descubiertos.

Todo el software es susceptible de necesitar actualizaciones por motivos de seguridad, esto incluye el firmware, sistemas operativos y aplicaciones informáticas.. También afecta a todo tipo de equipos, incluidos dispositivos IoT. Los fabricantes de software lanzan actualizaciones y parches para mejorarlos, añadir nuevas funcionalidades y evitar problemas de seguridad hay que revisar y estar al tanto de la existencia de actualizaciones, parches y corregir fallos de seguridad para el software

Si no mantenemos actualizados nuestros equipos y aplicaciones nos exponemos a todo tipo de vulnerabilidades.

En el marco de Open Web Application Security Project, OWASP, se recopilaron las 10 vulnerabilidades más comunes durante el 2021 y se prevé que seguirán presentes para el 2022:

TOPVULNERABILIDADES2022-09
TOPVULNERABILIDADES2022-10
TOPVULNERABILIDADES2022_Mesadetrabajo1
TOPVULNERABILIDADES2022-07
TOPVULNERABILIDADES2022-08
TOPVULNERABILIDADES2022-02
TOPVULNERABILIDADES2022-05
TOPVULNERABILIDADES2022-03
TOPVULNERABILIDADES2022-06
TOPVULNERABILIDADES2022-04
previous arrow
next arrow

¿Cuándo actualizar?

En primer lugar, mantenerse al tanto de la importancia de actualizar y parchear todo nuestro software. Es útil tener un inventario del software y el firmware instalado y de los fabricantes, generalmente ellos lanzan alertas de seguridad de cuando es necesario el parchear. Algunos sistemas operativos y aplicaciones incluyen la función de actualizaciones automáticas que es recomendable activar.

También es práctico configurar un sistema de alertas (RSS Google Alerts) para recopilar avisos y notificaciones sobre vulnerabilidades, actualizaciones y parches de seguridad del software utilizado. Estas alertas pueden consistir en boletines genéricos o específicos sobre avisos, actualizaciones, novedades y vulnerabilidades.

Colombia estaría bajo amenaza de hackers que pretenden intervenir en las elecciones: Duque

El presidente Iván Duque, el día de ayer ante el Parlamento Europeo advirtió que las próximas elecciones legislativas de Colombia podían ser intervenidas por “experimentados hackers”. 

Presidente Iván Duque en el Parlamento Europea
Presidencia

“Tenemos que ser capaces de proteger nuestra democracia de la influencia o de la ingerencia extranjera. De los que pretenden manipular algoritmos o de los que pretenden generar odio y fractura”, dijo el jefe de Estado ante el Parlamento. El primer mandatario recordó que a nivel mundial distintos grupos y personas ha intentado penetrar los procesos electorales mediante estrategias cibernéticas y ataques que buscan difundir información falsa y bulos, enfatizando que las democracias tienen tres enemigos “el populismo, la posverdad y la polarización”. 

Del mismo modo agregó que hay que “Estar unidos en advertir estas circunstancias es nuestro deber ético y, tenemos que ser capaces de rechazar cualquier intento de afuera que quiera llevar nuestros sistemas electorales a convertirse en un experimento de hackers entrenados para movilizar y detonar odios”.

Victoria Nuland, subsecretaria de Estado para Asuntos Políticos de la Casa Blanca, le comunicó al mandatario colombiano que los procesos electorales podrían enfrentar amenazas de “actores externos”, con intención de influir en los resultados de los comicios. “Nuestro deseo es tener una elección libre y justa aquí; una elección colombiana para los colombianos y nosotros la debemos salvaguardar contra actores externos interesados en manipular las elecciones, tal como han intentado hacerlo en otras partes del mundo”, dijo la alta funcionaria. 

¿ES ESTE UN RIESGO REAL?

Desde la Secretaría de Estado de Estados Unidos anunció que EE.UU. trabajará con Colombia para fortalecer la ciberseguridad de cara a las próximas elecciones, respondiendo a las amenazas de actores autoritarios externos que por medio de mentiras y desinformación buscan socavar la democracia.

Una advertencia que proviene de un gobierno como el del demócrata Joe Biden, cuyo partido denunció tanto en la campaña presidencial de 2016 como en la de 2020 la injerencia de hackers rusos en la contienda proselitista, sobre todo en materia de estrategias de manipulación de información y contenidos en las redes sociales. Y, de otra parte, porque este campanazo de Estados Unidos se dio en la misma semana en que Colombia se encontraba en pleno pico de tensión con Rusia, luego de que días atrás el ministro de la Defensa, Diego Molano, denunciara que el régimen venezolano había movilizado tropas a la frontera con Arauca con asesoría de personal militar de Moscú.

Tras la dura protesta del gobierno Putin por el grave señalamiento, que rechazó y calificó de infundado, el lunes pasado el embajador ruso en Bogotá fue citado por la canciller colombiana Marta Lucía Ramírez para analizar los alcances de la cooperación militar rusa con la dictadura chavista. Dictadura que, como se sabe, protege y da refugio territorial a las guerrillas del Eln y las reincidencias de las Farc, que desde allí ordenan y coordinan ataques, masacres, acciones terroristas y supuestos ataques e intervenciones cibernéticas en nuestro país.

El mandatario colombiano agregó que se trabajaba con Estados Unidos para compartir información de inteligencia que permita actuar frente a cualquier intento de interferencia en los comicios. Aunque no hubo señalamientos directos, sí en distintos cuarteles proselitistas se preguntó sobre qué instancia externa o gobierno extranjero querría interferir en el proceso electoral y, sobre todo, a favor de cuál aspirante o tendencia política.

Por el momento es claro que hay una alerta temprana y que gobiernos de Colombia y EU trabajan conjuntamente para prevenir cualquier intervención en las próximas elecciones.

RansomOps

El ransomware ha evolucionado de un simple malware. A veces, no son los barridos automatizados habituales de malware los que se pueden reconocer y detener más fácilmente. En realidad, ahora hay operaciones dirigidas por humanos en las que los ciberdelincuentes funcionan de manera similar a las empresas legítimas de software como servicio (SaS). Estos grupos son sofisticados, metódicos e impredecibles. Este tipo de ataque se llama RansomOps.

RansomOps se ha establecido como un alejamiento del malware tradicional, que se entrega de una manera mucho más predecible y automatizada, a lo que puede describirse como rescate como servicio (RaaS). En este caso, los operadores centrales, como BlackMatter, Conti o REvil, brindan las herramientas y los servicios de cobro de pagos con afiliados que se encargarán de la selección y comprometerán la red.

Bearded cyber criminal wearing a hoodie while hacking government security. Dangerous malware.

Este modelo está impulsado por atacantes humanos que utilizan herramientas de atacantes para moverse lateralmente dentro de un entorno, evitando específicamente las herramientas de seguridad modernas para aumentar sus posibilidades de éxito. Este enfoque también hace que las herramientas tradicionales basadas en firmas sean ineficaces, ya que los atacantes pueden navegar a través de las redes de diferentes maneras. Estos ataques también son mucho más rápidos que los ataques de ransomware tradicionales.

Estos ataques de RansomOps van más allá del rescate regular a la extorsión, y los atacantes amenazan con filtrar datos comerciales si no se paga el rescate.

La pandemia ha llevado a la gran adopción de la nube y, junto con esto, hemos visto a los afiliados de RansomOp buscar nuevas formas de segmentación a través de plataformas de nube pública como AWS (Amazon Web Service) y Azure. Esto brinda a los atacantes la oportunidad de pasar del acceso inicial al rescate a velocidades aún más rápidas que los ya rápidos 8 a 30 días. De hecho, estos ataques se pueden completar en un día.

ATAQUES

¿Cómo funciona el RansomOp?

Estos jugadores incluyen los Agentes de Acceso Inicial (IAB) que sientan las bases para un ataque de ransomware al infiltrarse en una red y moverse lateralmente para maximizar el impacto potencial de la carga útil del ransomware, y los operadores de Ransomware-as-a-Service (RaaS) que brindan infraestructura de ataque a los afiliados que realmente llevan a cabo el ataque.

El ransomware se instala en la máquina del empleado y ejecuta su código malicioso; como parte de su proceso de inicio, el ransomware vuelve a llamar a sus atacantes a través de un servidor de  comando y control (C&C) con el fin de recibir instrucciones.

Una vez que ha obtenido sus órdenes de marcha, el ransomware roba el acceso a las credenciales para poder infiltrarse en más cuentas y dispositivos; el ransomware usa esas cuentas y dispositivos comprometidos para descubrir archivos con ciertas extensiones de archivo que es capaz de encriptar; en ese punto, el ransomware se mueve lateralmente a través de la red para comprometer aún más cuentas y dispositivos.

Finalmente, el ransomware actúa sobre sus objetivos activando su rutina de encriptación en archivos locales y de red y luego mostrando su nota de rescate a la víctima. Este nivel de compromiso coloca a los atacantes de RansomOps en una posición en la que pueden exigir rescates aún mayores, y las técnicas de RansomOps también suelen implicar múltiples técnicas de extorsión.  Estos incluyen el uso de doble extorsión donde los atacantes primero extraen los archivos confidenciales de una víctima antes de iniciar la rutina de cifrado de ransomware. 

La lógica es que los atacantes pueden usar esa información robada para amenazar a las víctimas que no cumplen con la posibilidad de una fuga de datos. Esto puede tomar la forma de actores de ransomware que ejercen presión adicional sobre las víctimas para que paguen el rescate a pesar de la disponibilidad de copias de seguridad de datos en funcionamiento. 

O puede involucrar a atacantes de ransomware que exigen dos rescates, uno por una utilidad de descifrado que funcione y otro por la palabra de los atacantes de que eliminaron la información robada de sus víctimas de sus servidores (como si la palabra de un grupo de ransomware significara algo de todos modos).

¿Qué tipo de daño pueden causar las operaciones de ransomOp en operaciones médicas?

  • EEOO: El incidente de Universal Health Services provocó que más de 400 proveedores de atención médica no pudieran acceder a los registros electrónicos y numerosos hospitales e instalaciones médicas se vieron gravemente afectadas.
  • Nueva Zelanda: El incidente del distrito de salud de Waikato, afectó a 680 servicios informáticos, provocó retrasos preocupantes en la atención de los pacientes y en los resultados de las pruebas de COVID-19, y los pacientes en estado crítico tuvieron que ser trasladados a otros hospitales.
  • Australia: Los sistemas de TIC de Eastern Health en Melbourne fueron atacados por piratas informáticos, el incidente provocó una interrupción significativa, incluida la cancelación de cirugías electivas y un gran estrés para el personal y los pacientes.

¿Cómo mitigar los riesgos de esta amenaza?

La detección temprana es la clave para mitigar los daños. Si los hosts infectados se aíslan rápidamente, los cazadores de amenazas pueden ponerse a trabajar para eliminar los procesos que fomentan la replicación. Lo ideal es dejarlo en manos de las herramientas de automatización, ya que la intervención humana en tiempo real hace poco para frenar la rapidez de la propagación del ransomware. Las plataformas que supervisan toda la red son las más indicadas para tomar decisiones automáticas que sean eficaces para evitar daños y pérdidas.

Una estrategia clave en toda la red que tiene éxito en la detección de ransomware es adoptar una visión de conjunto de los comportamientos en lugar de buscar activamente variantes conocidas de ransomware en el tráfico de paquetes o procesos. Esta estrategia es proactiva y se centra en descubrir la actividad inicial de reconocimiento y penetración por parte de los actores malignos, en lugar de esperar a que la carga útil caiga.

Además, unas sólidas políticas de gestión de identidades pueden ayudar a frenar la marea si se ha tenido cuidado de garantizar que sólo unos pocos elegidos tengan acceso a las áreas más sensibles de la infraestructura de TI. El ransomware debe conformarse con las credenciales otorgadas al usuario o a la aplicación que ha permitido su implementación. La supervisión de la actividad de las cuentas con privilegios elevados también es una función que puede automatizarse. Los equipos de seguridad disponen de máquinas de detección incansables y muy eficaces. Pueden detener cualquier intento de penetrar en el sistema informático desde el principio. Los ataques se detienen antes de que tengan tiempo de convertirse en ransomware.

FBI advierte sobre códigos QR maliciosos utilizados para robar credenciales

Esta semana el FBI advirtió acerca de una nueva amenaza en la que los ciberdelincuentes están utilizando códigos de respuesta rápida (QR) creados con fines malintencionados para robar sus credenciales e información financiera.

Este nuevo fraude se caracteriza porque los delincuentes están cambiando los códigos QR legítimos utilizados por las empresas para redirigir a las víctimas potenciales a sitios web maliciosos diseñados para robar su información personal y financiera, instalar malware en sus dispositivos o desviar sus pagos a cuentas bajo su control. Después de que las víctimas escanean lo que parecen códigos legítimos, son enviados a los sitios de phishing de los atacantes, donde se les solicita que ingresen su información financiera y de inicio de sesión. Una vez ingresado, se envía a los ciberdelincuentes que pueden usarlo para robar dinero usando cuentas bancarias secuestradas.

“Los ciberdelincuentes están manipulando los códigos QR para redirigir a las víctimas a sitios maliciosos que roban información financiera y de inicio de sesión”, dijo la agencia federal de aplicación de la ley.

¿Cómo funciona?

En las campañas de phishing más recientes, los atacantes usan códigos QR en lugar de botones para llevar a las víctimas a sitios de phishing, así se ejecutó una reciente campaña de phishing dirigida a usuarios de una banca electrónica alemana. Los atacantes utilizaron códigos QR en lugar de botones en los correos electrónicos no deseados para dificultar la detección de sus ataques por parte del software de seguridad y redirigir con éxito a las víctimas a sitios de phishing. Estos correos electrónicos no contienen URL de texto claro y, en cambio, están ofuscados a través de códigos QR, lo que dificulta que el software de seguridad los detecte.

Correo electrónico con código QR que conduce al sitio de phishing
Correo electrónico con código QR que conduce al sitio de phishing
Fuente: Cofense

Los códigos QR tienen una mayor eficacia, ya que se dirigen a los usuarios móviles, que tienen menos probabilidades de estar protegidos por las herramientas de seguridad de Internet. Una vez que la víctima llega al sitio de phishing, se le solicita que ingrese su ubicación bancaria, código, nombre de usuario y PIN.

A las víctimas redirigidas con éxito a las páginas de destino de phishing se les pidió que ingresaran la ubicación del banco, el código, los nombres de usuario y los PIN.

Página de inicio de sesión en el sitio de phishing
Página de inicio de sesión en el sitio de phishing
Fuente: Cofense

Si estos detalles se ingresan en la página de phishing, el usuario espera la validación y luego se le solicita que ingrese sus credenciales nuevamente debido a que son incorrectas.

Pantalla de verificación en el sitio de phishing
Pantalla de verificación en sitio de phishing
Fuente: Cofense

Esta repetición es una táctica común en las campañas de phishing para eliminar los errores tipográficos cuando el usuario ingresa sus credenciales por primera vez. No importa cuán legítimo pueda parecer un correo electrónico, debe evitar hacer clic en botones, URL o incluso códigos QR que lo llevarán a un sitio externo.

C2user Recomienda:

Siempre que se le solicite ingresar las credenciales de su cuenta, recuerde siempre validar primero el dominio en el que se encuentra antes de comenzar a escribir.

Tener precaución al ingresar sus datos, su información financiera y al realizar pagos a través de un sitio al que se navega a través de un código QR.

Evitar instalar aplicaciones a través de códigos QR o instalar escáneres de códigos QR (en su lugar, use el que viene con el sistema operativo de su teléfono).

Por último, pero no menos importante, siempre ingrese las URL a mano cuando realice pagos en lugar de escanear un código QR que podría configurarse para redirigirlo a sitios maliciosos.

FBI advierte sobre una nueva variante de ransomware que compromete redes corporativas: HIVE o HIVELeaks.

El FBI ha emitido una advertencia a las empresas sobre una nueva variante de ransomware basada en afiliados cada vez más prolífica conocida como Hive. El objetivo de los atacantes es comprometer las redes corporativas, lo que dificulta la mitigación de los riesgos e impactos.

Estos ataques incluyen correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso inicial y el secuestro del Protocolo de escritorio remoto (RDP).

¿Cómo funciona?

El ransomware Hive busca y finaliza los procesos vinculados a las copias de seguridad, antivirus y copia de archivos para aumentar sus posibilidades de éxito. Una vez deshabilitados los servicios anteriores, el ransomware comenzará con el proceso de cifrado de archivos. Posteriormente instala un script hive.bat en el directorio, lo que impone un retraso de tiempo de espera de ejecución de un segundo para realizar la limpieza una vez finalizado el cifrado, al eliminar el ejecutable de Hive y el script hive.bat. El malware coloca un segundo archivo, shadow.bat, en el directorio para eliminar las instantáneas, incluidas las copias de seguridad del disco o las instantáneas, sin notificar a la víctima y luego se elimina el archivo shadow.bat. El proceso anterior se repetirá hasta finalizar el cifrado de ficheros en todo el equipo.

Durante el proceso de cifrado, en cada directorio afectado, el ransomware dejará un archivo de texto (MyEY_HOW_TO_DECRYPT.txt) con las instrucciones correspondientes para la recuperación de los mismos. Los cibercriminales advierten en las notas de rescate que si los archivos cifrados se modifican, se les cambia el nombre o se eliminan, no se pueden recuperar. En dichas instrucciones se indica la URL dentro del direccionamiento .onion donde se filtrará la información si no se efectúa el pago del software de descifrado.

PORTAL HIVE
PORTAL HIVE

Algunas víctimas le dijeron al FBI que habían recibido llamadas telefónicas de seguimiento de los atacantes pidiendo el pago. Una segunda táctica es exfiltrar y publicar archivos robados en un sitio público de filtraciones.

Respuesta y Mitigación

Para contener la amenaza y el impacto del ransomware es relevante trabajar de forma paralela en el aislado de redes/VLAN que conforman la entidad afectada con el objetivo de contener los segmentos de red con equipos infectados y evitar su expansión. Dado que la variante analizada no adquiere persistencia, los equipos afectados con Hive no requieren de una rutina de desinfección más allá de reiniciar el sistema o finalizar el proceso vinculado con el ransomware.

Fuente: https://www.ccn-cert.cni.es/seguridad-al-dia/novedades-ccn-cert/11438-analisis-del-ransomware-hive-o-hiveleaks.html

BYOD: Pros y contras del Bring your own device

El trabajo híbrido es uno de los principales desafíos que tendrán muchas organizaciones para 2022 en el camino hacia la nueva normalidad, implicando la utilización de dispositivos personales para acceder a recursos de la empresa, como puede ser el correo electrónico, bases de datos o aplicaciones personales.

Aproximadamente el 90% de los empleados utilizan de algún modo sus dispositivos personales para acceder a algún tipo de información de la empresa.

La práctica BYOD, ‘Bring your own device’ o ‘Traiga su propio dispositivo’, se volvió casi que obligatoria en los últimos años gracias a las facilidades que otorga para las organizaciones y sus empleados. Como beneficios, si los empleados utilizan sus propios dispositivos, se enfrentan a un menor gasto en concepto de compra de equipos, software, licencias o seguros de robo. Su productividad presenta mejoras gracias a que estos dispositivos actúan en función de sus gustos y con los que están familiarizados. Además, el BYOD contribuye a fomentar la flexibilidad laboral y el home office.

Sin embargo, como cualquier práctica relacionada a la informática, se corren ciertos contras y riesgos, llegando así a comprometer la información y a facilitar ataques a la disponibilidad, la integridad y la confidencialidad de una empresa. Generalmente estas vulneraciones se dan por:

  • Perder el dispositivo personal que utiliza para trabajar y no reportar a tiempo.
  • Permitir que estos dispositivos sean usados por terceros.
  • No utilizar contraseñas seguras.
  • Conectarse a redes wifi abiertas y/o que no cuenten con la seguridad necesaria.
  • Usar programas no permitidos o crackeados, además de no mantener sus sistemas y antivirus actualizados.

Para trabajar de manera eficiente y segura, C2USER recomienda:

  1. Mantenga una constante localización y total control sobre sus dispositivos personales para evitar su extravío o sean utilizados por terceros.
  2. Establezca el bloqueo de pantalla de forma automática y active una capa de seguridad para el desbloqueo (patrón, contraseña o sistema biométrico).
  3. Cifre sus dispositivos para proteger la información que contengan.
  4. Utilice redes virtuales privadas (VPN, por sus siglas en inglés).
  5. Actualice sus dispositivos y antivirus de manera constante.
  6. Use únicamente los programas o el software autorizados por la empresa.
Evaluación de Amenazas del Crimen Organizado en Internet IOCTA 2021

Tras la pandemia por el COVID-19, la nueva realidad ha implicado una rápida adaptación a diferentes entornos empresariales y trabajo, de la misma manera, se ha evidenciado una (r)evolución y adaptación de nuevas amenazas, técnicas y grupos criminales de Ransomware que llegan para quedarse. La nueva edición de la Evaluación de Amenazas del Crimen Organizado en Internet IOCTA 2021 ya está disponible https://europa.eu/!wff7yV y analiza el desarrollo (r)evolutivo de estas tendencias, que se han incrementado por la digitalización ampliada de estos últimos años de pandemia mundial.

En el informe de este año, el impacto de la pandemia COVID-19 sigue siendo visible. La digitalización acelerada relacionada con la pandemia ha influido significativamente en el desarrollo de una serie de amenazas cibernéticas, que incluyen:

Los programas de afiliados de ransomware permiten a un grupo más grande de delincuentes atacar a las grandes corporaciones e instituciones públicas amenazándolas con métodos de extorsión de varios niveles, como los ataques DDoS.


El malware móvil evoluciona con los delincuentes que intentan eludir medidas de seguridad adicionales, como la autenticación de dos factores.


Las compras en línea han provocado un fuerte aumento del fraude en línea.
El material explícito autogenerado es una preocupación creciente y también se distribuye con fines de lucro.


Los delincuentes continúan abusando de servicios legítimos como VPN, servicios de comunicación encriptados y criptomonedas.

Fuente: Europol (2021), Internet Organised Crime Threat Assessment (IOCTA) 2021,
Publications Office of the European Union, Luxembourg.