Los ataques cibernéticos están a la orden del día. Constantemente escuchamos de nuevas amenazas que se propagan a través de redes sociales, servicios de mensajería o cualquier tipo de contenido en Internet. Sin embargo, 2017 este año se presentaron ataques que pusieron en jaque a usuarios, empresas y estados en todo el mundo. 

Ataque WannaCry

Uno de los ataques más nombrados del año fue WannaCry, el cual ocurrió a mediados de mayo. Se trataba de un ransomware en el que los delincuentes solicitaban un rescate en Bitcoins. Esto, para analistas de seguridad, sugiere que el verdadero objetivo del ataque WannaCry fue la destrucción de datos.

En sus primeras horas, WannaCry parecía un ataque dirigido a un par de empresas en Europa. Sin embargo, con el pasar de las horas, se descubrió que se trataba de un ataque global que se aprovechaba de una vulnerabilidad de seguridad en el sistema operativo Windows.

Ataque Petyawrap

Este ataque, que se dio a finales de junio, fue una variación del virus Petya, el cual se había propagado meses atrás. Se trataba de un ransomware que encriptaba cada computador haciéndolo inutilizable hasta que el sistema fuera descifrado. Los usuarios infectados tenían que pagar 300 dólares en Bitcoin y enviar la identidad del monedero virtual de la empresa víctima del ataque, junto con un código de verificación que los piratas muestran en las pantallas de los afectados.

En los dos casos, empresas mundialmente conocidas fueron afectadas, lo que dejó en evidencia el efecto que un ataque masivo puede tener si los delincuentes así se lo proponen, incluso si las empresas afectadas cuentan con avanzados sistemas de seguridad.  

Otro de los ataques cibernéticos más importantes del año fue el que sufrió la empresa estadounidense Equifax. La firma, una de las tres grandes agencias que reportan créditos de consumo en Estados Unidos, reveló que los atacantes obtuvieron acceso a datos de la compañía y que quedaron comprometidos datos delicados de 143 millones de consumidores de ese país. Entre los datos estaban incluso números de Seguridad Social y licencias de conducción.

Vota en los premios ENTER.CO 2017 y llévate un Alcatel A7

¿Qué debes hacer? Vota en todas nuestras categorías de los Premios ENTER.CO 2017 usando el mismo correo electrónico (este correo nos ayudará a filtrar tus respuestas correctas). ¿Cómo elegiremos al ganador? El ganador del Alcatel A7 será quien haya votado en el mayor número de categorías por el nominado que se lleve el premio de la audiencia. En caso de empate entre dos o más participantes, el jurado de ENTER.CO verificará los registros para saber quién respondió más rápido en la última categoría publicada.

Luego, desde ENTER.CO elegiremos al ganador de la actividad, quien será contactado a través del correo electrónico con el que diligenció el formulario de votación.

El concurso se cerrará el próximo viernes 5 de enero de 2018 a las 11:59 p.m. Hasta esa fecha tendrás plazo para votar por tu ganador. Todo formulario que sea diligenciado después de la fecha no será tenido en cuenta para entregar el premio, así que no te quedes por fuera y participa.

*Actividad válida únicamente para Colombia

Conoce la política de datos y privacidad de ENTER.CO.

Imágenes: ENTER.CO

Presión sobre Corea del Norte por WannaCry

Esta declaración tendrá consecuencias más allá de las palabras. De acuerdo con Washington Post, la administración de Trump llamará a la acción para detener la habilidad de Corea del Norte de llevar a cabo ataques cibernéticos. Además, pedirá al consejo de seguridad de las Naciones Unidas que implemente sanciones contra el país asiático.

El consejero de seguridad nacional de Estados Unidos, Thomas P. Bossert, afirmó que “el ataque WannaCry fue extendido y cuesta miles de millones, y Corea del Norte es directamente responsable.” Además añadió que “esta afirmación no se hace de manera ligera. Está basada en la evidencia. Y no estamos solos en estos hallazgos.”

Esta última frase hace referencia a que otros gobiernos y empresas privadas también afirman que Corea del Norte estaría tras los ataques. Dentro de estos se encuentran el Reino Unido y Microsoft. En el país europeo el ataque afectó computadores del sector de salud. Esto pudo haber puesto vidas humanas en riesgo.

De acuerdo con The Verge, todavía no se conoce si el gobierno de Estados Unidos usará a WannaCry como una forma de poner más presión sobre Corea del Norte a través de más sanciones. El país asiático ha sido objeto de sanciones por parte de la comunidad internacional debido a su programa nuclear.

Imagen: (stephan) (vía Flickr).

De alguna forma, esto deja ver que la creatividad de los cibercriminales continúa en expansión ya que siguen buscando nuevas maneras de comprometer los computadores de las víctimas y robar su dinero.

Según Thiago Márques, analista de Seguridad del Equipo Global de Investigación y Análisis Kaspersky Lab, el 2018 será un año más complejo hablando desde el punto de vista de la diversidad y alcance de los ataques. “Vemos que los objetivos ya no serán solamente los usuarios finales, sino sus proveedores, tanto de hardware como de servicios”, afirma Márques.

Entonces, ¿qué nos espera en 2018 en temas de ciberseguridad? Estos son los pronósticos del equipo de investigación y análisis de Kaspersky Lab América Latina para la región:

Adopción y uso de técnicas de ataques dirigidos

Los cibercriminales observarán los reportes sobre ataques dirigidos para copiar las técnicas empleadas en esos ataques con el fin de infectar los dispositivos de usuarios finales. Esto permitirá que los atacantes logren un mayor número de víctimas.

Múltiples ataques hacia la banca

Los bancos tendrán que enfrentar ataques con técnicas y vectores híbridos. Estos les permitirán a los atacantes sustraer grandes sumas de dinero directamente de los activos del banco. Dichos ataques podrán ser complementados con el uso de insiders, tecnologías maliciosas para los cajeros automáticos, así como los servidores internos y otras estaciones dentro de las propias redes de las instituciones bancarias.

Adopción de los constructores de malware móvil

Esta táctica le dará a los cibercriminales la ventaja sobre infecciones móviles. Podrán instalar diferentes tipos de malware para la plataforma Android, desde Bankers hasta Ransomware/Lockers. Con estos exigen dinero a través de los sistemas de pago convencionales o electrónicos. La ingeniería social será el principal vector para infectar los dispositivos con malware móvil.

Aumento de ataques a pequeñas y medianas empresas

Serán atacadas principalmente las que manejan sistemas de puntos de venta (PoS). También aquellas encargadas de procesar transacciones de tarjetas protegidas con chip y PIN. Los cibercriminales buscarán nuevas formas de continuar clonando tarjetas de crédito y débito pese a las protecciones implementadas según el estándar EMV.

Ataques a los sistemas y usuarios de criptomonedas

El incremento en el valor de las criptomonedas ha captado la atención de los cibercriminales. Debido a esto también ha habido un incremento en el número de malware diseñado para su robo. Se han descubierto páginas web que son utilizadas para abusar de los recursos de hardware de los equipos de usuarios que visitan estos sitios para la generación o minado de criptomonedas.

Brechas de seguridad y privacidad

El Internet de las Cosas (IoT) cobrará mayor relevancia en el escenario de la seguridad informática. Esto será gracias a la inclusión masiva de dispositivos inteligentes en hogares. Según Márques, “Las vulnerabilidades en este tipo de dispositivos plantearán un problema no solo de seguridad sino de privacidad, y de los límites dentro de los cuales un dispositivo puede acceder a nuestra información privada. Desde implantes médicos hasta autos conectados, tendremos un sin fin de posibilidades existentes para que los atacantes encuentren nuevas formas de concretar sus ataques”.

Finalmente, no olvidemos que se avecina La Copa Mundial de la FIFA que se celebrará en Rusia el próximo año. Con esto, Kaspersky Lab resalta que habrá muchos tipos de ataques, como phishing, seguidos por malware, ataques de DDoS y otros como el robo a través de las ATMs.

Imagen: Pixabay

Este nuevo malware se está esparciendo por Europa, y parece que los países afectados son Rusia y Ucrania. Aunque también se han reportado víctimas en Turquía y a Alemania. Pero no es definitivo que estos sean los únicos países víctimas.

Entre los blancos iniciales está el Ministerio de Infraestructura de Ucrania y el sistema de transporte público de Kiev. El servicio de noticias ruso Interfax informó al público que fue hackeado. Kaspersky dice que otro medio ruso, Fontanka.ru, también fue afectado. Los investigadores dicen que este ataque parece estar enfocado en medios de comunicación. La firma dice que Bad Rabbit tiene muchas similitudes con NotPetya o ExPetr.

De acuerdo con Kaspersky, este ataque no usa ‘exploits’, es decir que no se aprovecha de fallas en los sistemas operativos. En cambio, es un ataque ‘drive-by’, que requiere de la acción de las víctimas. Bad Rabbit necesita que las víctimas descarguen y ejecuten el virus, que viene en forma de un archivo instalable de Adobe Flash.

Cuando un computador es víctima de Bad Rabbit, se crean dos tareas con los nombres de los dragones de ‘Game of Thrones’ y Gusano Gris, el comandante del ejército de Daenerys Targaryen, según notó TechCrunch.

BadRabbit creates two scheduled tasks, named after the dragons from Game of Thrones. Also a reference to GrayWorm, the skin disease in GoT. pic.twitter.com/BfQxGrMwC0

— Kevin Beaumont 🐿 (@GossiTheDog) 24 de octubre de 2017

Los computadores afectados con este malware son direccionados a un ‘domain’ en el que se les pide que paguen 0,5 Bitcoin, que son unos 276 dólares (unos 830.000 pesos colombianos), por sus datos. En el sitio aparece una cuenta regresiva en la que se indica el tiempo estipulado antes de que el precio del rescate suba. Aún no es claro si Bad Rabbit sí devuelve los datos y elimina el virus después de que se paga.

¿Cómo evitar ser víctima de Bad Rabbit?

Kaspersky dice que si usas alguno de sus productos de protección, debes asegurarte de que tengas encendidos los programas System Watcher y Kaspersky Security Network.

Si no eres usuario de ellos, puedes bloquear la ejecución de archivos con una ‘vacuna’, propuesta por algunos investigadores. Debes crear un archivo llamado c:\windows\infpub.dat and c:\Windows\cscc.dat y luego eliminar todos los permisos de ejecución para el mismo.

Vaccination for the Ukraine round 2? Wanna stop #badrabbit?
Create a file called c:\windows\infpub.dat and remove all write permissions for it. This should keep the malware from encrypting. Testing it now… pic.twitter.com/3MSSH8WKPb

— Amit Serper​ (@0xAmit) 24 de octubre de 2017

La compañía recomienda firmemente que tengas un respaldo de todos tus datos y que por ningún motivo pagues el rescate. Así que evitamos que los atacantes se lucren de esta práctica.

Imágenes: Kaspersky y Pixabay.

Propagar un ransomware puede ser una tarea sencilla. Simplemente hay que engañar a los usuarios para que ingresen a un link o descarguen un software. Por otro lado, en el caso de las empresas, la tarea es encontrar las vulnerabilidades en los sistemas para lograr el cometido. En el caso de Petya, el responsable de iniciar el ataque fue el grupo TeleBots, un equipo de atacantes cibernéticos que utiliza un conjunto de herramientas maliciosas para atacar objetivos de valor del sector financiero. Así lo informó Eset Latinoamérica a través de su blog informativo.

También te puede interesar: ¿Qué es el Ransomware de las Cosas y cómo nos afecta?

Su ingreso se dio por medio de los canales VPN, programas que permiten alterar la dirección IP del dispositivo desde el que se realiza el ataque. Una vez adentro, TeleBots explota las vulnerabilidades (exploits) para conseguir su objetivo: propagar y cifrar. Este ransomware es igual que un gusano, por lo que su propagación en la red fue rápida, ya que implementó diferentes técnicas para infectar los equipos conectados. Una vez llegó a los equipos, inició su proceso de cifrado para que los usuarios no pudieran acceder a la información.

¿Se propagó igual que WannaCry?

La vulnerabilidad por la que Petya y WannaCry ingresaron a los equipos se llama EternalBlue. Sin embargo, Petya fue más allá, ya que utilizó herramientas propias de Microsoft Windows conocidos como PsExec y WMIC (línea de comandos de administración instrumental de Windows). Estas herramientas son la fuente de administración de datos y de la funcionalidad de los equipos. Es decir, los atacantes tomaron estas herramientas propias de los sistemas atacados para generar el daño y cifrar la información.

Y su propagación a nivel mundial no requirió mayor esfuerzo. Con el uso de PsExec y WMIC, el ransomware se expandió por la red del equipo para contaminar a los demás equipos que estaban conectados. En el caso de América Latina, Petya llegó gracias a los dispositivos que estaban conectados con los de sus filiales en los países que sufrieron el ataque.

Cuando ya está infectado

Una vez instalado y ejecutado, este ransomware reinició los dispositivos en un periodo no mayor a 60 minutos. Durante ese tiempo verificó si existían carpetas o discos compartidos para seguir propagándose. En caso de haberlos encontrado, ejecutan la línea de comandos de administración para ejecutar el virus en el dispositivo remoto. Al reiniciarse la máquina, el trabajo de cifrado comenzó en cada uno de los archivos.

En este caso no agregaron la extensión de los archivos, ya que les permitió a los atacantes diferenciar los archivos cifrados y los que faltaban. Durante el proceso, el malware ocultó todo tipo de registro de acción. Además, ocultó sus acciones para evitar ser descubierto por cualquier tipo de sistema de protección.

En el caso de Colombia, varias empresas locales sintieron el coletazo del ataque en Ucrania y varias partes de Europa. Por eso es importante tener en cuenta las advertencias que hace la compañía de seguridad informática:

– Tener los sistemas operativos actualizados en la última versión.

– Contar con sistemas de seguridad como antivirus, firewalls, entre otros.

– Vigilar constantemente los puertos 135, 139, 445 y 1025-1035 TCP, los cuales utilizan el PsExec y WMIC.

– Configurar, segmentar y monitorear constantemente la red a la que están conectados los equipos.

– Hacer backup constante de la información más sensible y valiosa de los equipos.

– Cambiar constantemente las contraseñas de los equipos y guardarlas en un lugar seguro.

Imagen: iStock.