Generalidades
Ataques selectivos y campañas de programas maliciosos
Dropping Elephant
Las campañas de ataques selectivos no tienen que ser técnicamente avanzadas para tener éxito. En julio de 2016 informamos sobre un grupo llamado Dropping Elephant, también conocido como ‘Chinastrats’ y ‘Patchwork’. Este grupo se las ingeniaba para robar datos críticos a sus víctimas mediante una combinación de técnicas de ingeniería social, antiguos códigos de exploits y algunos programas maliciosos basados en PowerShell.
El grupo, activo desde noviembre de 2015, ataca a organizaciones económicas y diplomáticas de alto nivel relacionadas con las relaciones exteriores de China; este interés se hizo evidente en los temas que usaron para engañar a sus víctimas.
Los atacantes usaban una combinación de mensajes de correo spear-phishing y ataques tipo abrevadero. En el primer caso, se envía un documento con contenidos remotos. Cuando la víctima abre el documento, se envía una petición ping al servidor de Comando y Control (C2) de los atacantes. Luego, la víctima recibe un segundo mensaje de correo spear-phishing que contiene un archivo de Word o uno de PowerPoint que explotan antiguas vulnerabilidades: CVE-2012-0158 y CVE-2014-6352, respectivamente. Una vez que se ha ejecutado la carga, se descarga en el sistema un archivo ejecutable AutoIT comprimido con UPX, que al ejecutarse descarga a su vez otros componentes desde el servidor C2, dando inicio al robo de datos desde la computadora de la víctima.
3er Trim. 2016: @KasperskyES evitó 172 millones de ataques maliciosos de fuentes online de 191 países #KLreport
Tweet
Los atacantes también crearon un sitio web abrevadero que descarga textos de noticias genuinas desde sitios web también legítimos. Si el visitante quiere leer el artículo completo, tiene que descargar un archivo de PowerPoint que muestra el resto del artículo, pero que además le pide a la víctima que descargue un objeto malicioso. A veces, los atacantes envían por correo enlaces a su sitio web abrevadero. Asimismo, los atacantes tienen cuentas en Google+, Facebook y Twitter que utilizan para desarrollar la optimización relevante de los motores de búsqueda (SEO) y para llegar a más víctimas potenciales.
El éxito del grupo Dropping Elephant resulta asombroso dado que no recurre a exploits día cero ni a técnicas avanzadas para atacar a sus víctimas de alto nivel. Queda claro que estos ataques pueden evitarse mediante la correcta aplicación de las actualizaciones de seguridad y la educación de los usuarios. A principios de este año, habíamos predicho que los grupos APT se esforzarían menos en el desarrollo de herramientas sofisticadas y que se volcarían al uso de los programas maliciosos disponibles. Dropping Elephant es un ejemplo más de que una baja inversión y el uso de herramientas existentes pueden ser muy efectivas cuando se combinan con técnicas de ingeniería social de alta calidad.
ProjectSauron
En septiembre, nuestra Plataforma anti-ataques selectivos detectó una anomalía en la red corporativa de uno de nuestros clientes. Una investigación más minuciosa nos permitió descubrir a ProjectSauron, un grupo que ha estado robando información confidencial de organizaciones en Rusia, Irán y Ruanda (y probablemente otros países) desde junio de 2011. Hemos identificado a más de 30 víctimas: son todas organizaciones importantes que prestan servicios a instituciones gubernamentales, militares, científicas, investigación, telecomunicaciones y financieras.
ProjectSauron se especializa en obtener acceso a comunicaciones cifradas mediante una avanzada plataforma modular de ciberespionaje que contiene un conjunto singular de herramientas y técnicas. El costo, complejidad, persistencia y el objetivo de la operación (robo de datos secretos de organizaciones gubernamentales) sugiere que ProjectSauron es una campaña que cuenta con apoyo gubernamental. ProjectSauron da la impresión de ser un experimentado grupo que se ha esforzado notablemente en aprender de otros ataques altamente avanzados, como Duqu, Flame, Equation y Regin, llegando a adoptar algunas de sus técnicas más innovadoras y mejorar sus tácticas para mantenerse en secreto.
Una de las características más distinguidas de ProjectSauron es el deliberado esfuerzo por evitar patrones; los implantes que el grupo utiliza son personalizados para cada una de sus víctimas y no se vuelven a utilizar. Esto hace que sea inútil utilizar los tradicionales Indicadores de Compromiso (IoC). Esta estrategia, junto al uso de múltiples rutas para la extracción de los datos robados (como canales legítimos de correo y DNS) permite llevar a cabo campañas de espionaje secretas a largo plazo contra las redes comprometidas.
Principales características de ProjectSauron:
- implantes únicos para cada víctima;
- uso de scripts legítimos de actualización de software;
- uso de puertas traseras para descargar nuevos módulos o ejecutar comandos sólo a nivel de la memoria;
- enfoque en información relacionada con el software personalizado de cifrado de la red.
- uso de herramientas de bajo nivel a cargo de scripts LUA de alto nivel (el uso de LUA es muy raro; sólo los ataques de Flame y Animal Farm lo usaron);
- uso de unidades USB especialmente preparadas para penetrar redes aisladas, con compartimientos ocultos para almacenar los datos robados;
- uso de múltiples mecanismos de extracción para ocultar la transferencia de datos en el tráfico cotidiano.
El método utilizado para la infección inicial de las víctimas sigue siendo un misterio.
El uso de métodos únicos, como el servidor de control, llaves de cifrado y otros más, además de la adopción de técnicas avanzadas utilizadas por otros grupos ATP, es algo novedoso. La única forma efectiva de neutralizar estos ataques es mediante la implementación de múltiples capas de seguridad, con sensores para monitorear hasta la anomalía más imperceptible en el flujo de trabajo corporativo, combinado con inteligencia anti-ataques y análisis forense. Aquí podrá encontrar más información sobre los métodos disponibles para lidiar con estas amenazas.
ShadowBrokers
En agosto, un individuo o grupo con el nombre ‘ShadowBrokers’ afirmó tener en su poder archivos que pertenecían al grupo Equation, y publicó dos enlaces a archivos comprimidos PGP, además de la contraseña gratuita para el primero, pero ‘subastó’ el segundo, con el precio base de 1 millón de BTC (1/15 de los bitcoins en circulación).
Los componentes web de @KasperskyES identificaron 45,2 millones de URL maliciosas en el 3er Trim. 2016 #KLreport
Tweet
Tras descubrir al grupo Equation en febrero de 2015, nos interesaba analizar el primer archivo comprimido. Este archivo comprimido contiene casi 300MB de exploits para cortafuegos, herramientas y scripts, con criptónimos como BANANAUSURPER, BLATSTING y BUZZDIRECTION. La mayor parte de estos archivos tienen al menos 3 años de antigüedad, con registros de cambios que datan de agosto de 2013 y la última marca de tiempo que data de octubre de 2103.
El grupo Equation hace uso extenso de los algoritmos de cifrado RC5 y RC6 (diseñados por Ronald Rivest en 1994 y 1998, respectivamente). El tesoro que ShadowBrokers donó al publico incluía 347 instancias diferentes de implementaciones RC5 y RC6. La implementación es funcionalmente idéntica a la encontrada en el programa malicioso Equation y no se la ha visto en ninguna otra parte.
La similitud del código nos lleva a pensar con mucha seguridad que las herramientas develadas por ShadowBroker están relacionadas con el programa malicioso del grupo Equation.
Operación Ghoul
En junio observamos una ola de mensajes de correo tipo spear-phishing con adjuntos maliciosos. Estos mensajes, enviados principalmente a gerentes de primera y segunda línea de numerosas compañías, aparentemente provenían de un banco en EAU. Los mensajes ofrecían asesoramiento del banco en temas de pagos e incluían un documento SWIFT adjunto. Pero en realidad el archivo comprimido contenía un programa malicioso. Una investigación en profundidad reveló que los ataques de junio eran la más reciente operación de un grupo cuya pista habían estado siguiendo los investigadores de Kaspersky Lab desde hacía más de un año, y lo bautizaron como Operation Ghoul.
El grupo logró atacar a más de 130 organizaciones en 30 países, incluyendo España, Paquistán, EAU, India, Egipto, Reino Unido, Alemania y Arabia Saudí. La información obtenida del abrevadero de algunos servidores C2 revela que, en su mayoría, estas organizaciones pertenecen a los sectores industrial y de ingeniería, así como al transporte marítimo, farmacéutico, manufactura, comercio y educación.
El programa malicioso que el grupo Operation Ghoul utilizó se basa en el paquete comercial de spyware conocido como Hawkeye, que sólo se vende en la Web Oscura. Una vez que se instala, este programa malicioso recopila información relevante de la computadora de la víctima, incluyendo actividad en el teclado, datos en el portapapeles, credenciales de servidores FTP, cuentas en navegadores, clientes de mensajería, clientes de correo e información sobre las aplicaciones instaladas. Estos datos se envían a los servidores C2 del grupo.
El objetivo de la campaña parece ser el lucro, puesto que todas las organizaciones atacadas poseen información que puede venderse en el mercado negro.
El éxito sostenido de la ingeniería social como una forma de penetrar en las organizaciones atacadas remarca la necesidad de que las empresas hagan de la educación de su personal un componente esencial de su estrategia de seguridad.
Relatos cibermaliciosos
Lurk
En junio de 2016 informamos sobre el troyano bancario Lurk, usado sistemáticamente para drenar dinero desde las cuentas de organizaciones comerciales en Rusia, de las cuales varias son bancos. La policía estima que las pérdidas ocasionadas por este troyano llegan a los 45 millones de dólares.
El antivirus web de @KasperskyES detectó 12.657.673 de objetos maliciosos únicos en el 3er Trim. 2016 #KLreport
Tweet
Durante nuestra investigación de este troyano, notamos que las víctimas de Lurk también habían instalado el software de administración remota Ammyy Admin. Si bien en un principio no le dimos mucha importancia, luego encontramos que el sitio oficial de Ammyy Admin había sido infectado y estaba siendo usado por el grupo Lurk como parte de un ataque tipo abrevadero: el troyano se descargaba en la computadora de la víctima junto al programa legítimo.
El descargador del sitio Ammyy Admin comenzó a distribuir un troyano diferente el 1 de junio de 2016: Trojan-PSW.Win32.Fareit; ese fue el día en el que la policía arrestó a los supuestos creadores del troyano Lurk. Al parecer, los responsables de la violación del sitio web de Ammyy Admin estaban contentos de vender su troyano descargador a quienes quisieran distribuir programas maliciosos desde el sitio infectado.
El troyano bancario no fue la única actividad ciberdelictiva del grupo Lurk. También desarrollaron el paquete de exploits Angler, un conjunto de programas maliciosos diseñados para explotar vulnerabilidades en programas legítimos populares con el fin de instalar programas maliciosos. Este paquete de exploits fue diseñado originalmente para proporcionar un canal efectivo y confiable de distribución para los programas maliciosos del grupo. Sin embargo, en 2103 el grupo comenzó a alquilar el paquete a quienes estuviesen dispuestos a pagar el precio, quizás con el fin de recaudar fondos para sostener la enorme infraestructura del grupo y su numeroso ‘personal’. El paquete de exploits Angler se convirtió en una de las herramientas más poderosas que circulaba en el cibermundo clandestino. A diferencia del troyano bancario Lurk, que apuntaba a víctimas en Rusia, Angler fue utilizado por atacantes de todo el mundo, entre ellos los grupos de ransomware CryptXXX y TeslaCrypt, y el troyano bancario Neverquest (este último se usó contra unos 100 bancos). Las operaciones de Angler se interrumpieron después del arresto de los supuestos miembros del grupo Lurk.
Asimismo, este grupo estaba involucrado en otras actividades adicionales. Por más de cinco años, el grupo pasó de desarrollar programas maliciosos muy poderosos para el robo automatizado de dinero, al robo sofisticado mediante el fraudulento intercambio de tarjetas SIM y a convertirse en hackers especialistas en la infraestructura interna de bancos.
Kaspersky Lab ayudó a la policía rusa en las investigaciones del grupo responsable del troyano Lurk. El arresto de sus componentes marcó la culminación de una investigación de seis años en la que participó nuestro Equipo de investigación de incidentes informáticos. Aquí encontrará más información sobre esta investigación.
Ransomware
No pasa un mes sin que se tengan noticias de ataques tipo ransomware contra los medios de comunicación. Por ejemplo, un reciente informe revela que 28 fideicomisos para servicios nacionales de salud (NHS) en Reino Unido han sido víctimas de ataques ransomware en los últimos 12 meses. La mayor parte de los ataques ransomware están dirigidos a los consumidores, pero una parte significativa de ellos atacan a empresas (un 13% en 2015-2016). La Encuesta 2016 sobre riesgos de seguridad informática de Kaspersky Lab indica que un 42% de las empresas pequeñas y medianas han sido víctimas de ataques ransomware durante los 12 meses previos a agosto de 2016.
Una reciente campaña ransomware exigía una suma considerable de dos bitcoins (unos 1.300 dólares) como rescate. El programa ransomware, llamado Ded Cryptor, cambia el fondo de pantalla de la computadora de la víctima por la imagen de un Papá Noel de aspecto diabólico.
El modus operandi de este programa (por ejemplo: archivos cifrados, imágenes asustadizas y exigencias de rescate) no es nada significativo, pero la pre-historia de este ataque es interesante. Se basa en el ransomware de código abierto EDA2, desarrollado por Utku Sen como parte de un experimento fallido. Utku Sen, un experto en seguridad de Turquía, creó un programa ransomware y publicó el código en Internet. Sabía que los ciberdelincuentes utilizarían su código para crear sus propios cifradores, pero él esperaba que esto ayudaría a los expertos en seguridad a comprender la forma en que los ciberpiratas piensan y codifican, y por ende, les ayudaría en sus esfuerzos para neutralizar más efectivamente los programas ransomware.
Ded Cryptor fue sólo uno de muchos programas ransomware engendrados por EDA2. Otro de estos programas que descubrimos recientemente fue Fantom. Resultó interesante no sólo por su vinculación con EDA2, sino porque simula una pantalla de actualización de Windows genuina.
Esta pantalla fraudulenta aparecía mientras Fantom cifraba los archivos de la víctima en segundo plano. El programa fraudulento de actualización se ejecuta en modo de pantalla completa, bloqueando la visibilidad de la víctima para acceder a otros programas y distrayéndola de lo que sucede en segundo plano. Una vez terminado el cifrado oculto, Fantom muestra un mensaje más típico:
No hay duda de que la conciencia del público respecto a este problema está aumentando, pero también queda claro que tanto consumidores como organizaciones no están haciendo lo suficiente para combatir la amenaza, y los ciberpiratas están aprovechando la situación, lo que se refleja nítidamente en el creciente número de ataques ransomware.
Es importante disminuir la exposición a los programas ransomware (y hemos delineado los pasos que puede seguir aquí y aquí) Sin embargo, no hay protección que sea totalmente infalible, por lo que también es importante mitigar los riesgos. En particular, es esencial contar con una copia de respaldo de toda su información para evitar una situación en la que la única opción sea pagar el rescate o perderla. Y nunca es aconsejable pagar el rescate.
Si se encuentra en la situación en que sus archivos están cifrados y no tiene una copia de respaldo, recurra al fabricante de su solución anti-malware y pregúntele si puede ayudarle; también visite el sitio web No More Ransom para ver si contiene las llaves para descifrar sus datos. Se trata de una iniciativa conjunta entre la Unidad nacional del crimen de alta tecnología de la policía de Holanda, el Centro europeo del cibercrimen de Europol, Kaspersky Lab e Intel Security, diseñada para ayudar a las víctimas de ataques ransomware a recuperar sus datos sin verse obligados a pagar el rescate exigido por los ciberpiratas.
En una reciente sesión de ‘pregunte al experto’, Jornt van der Wiel, experto del Equipo de análisis e investigación global de Kaspersky Lab, ofreció ideas muy útiles sobre el ransomware.
Fugas de datos
La información personal es un bien valioso, por lo que no debe sorprendernos que los ciberpiratas ataquen a los proveedores en línea en busca de formas de robar la mayor cantidad posible de datos en un solo ataque. Nos hemos acostumbrado a las noticias constantes sobre fugas de seguridad. Este trimestre no ha sido la excepción, con fugas de datos en el foro oficial de DotA 2, Yahoo, y otros.
Algunos de estos ataques resultaron en el robo de inmensas cantidades de datos, lo que evidencia el hecho de que muchas compañías no están tomando las medidas necesarias para protegerse. Toda organización en posesión de datos personales tiene la obligación de protegerla de la forma más efectiva posible. Esto incluye contraseñas de usuario con hash y sal, así como el cifrado de otros datos críticos.
Los consumidores pueden limitar los daños ocasionados por fugas de datos en proveedores en línea mediante el uso de contraseñas únicas y complejas: una contraseña ideal consta de al menos 15 caracteres que combinen letras, números y símbolos disponibles en el teclado. Como alternativa, se puede usar una aplicación de administración de contraseñas para su control automático.
También es una buena idea utilizar una autenticación de doble factor, si es que un proveedor en línea ofrece esta posibilidad, en la que el usuario debe introducir un código generado por un dispositivo token, o enviado a un dispositivo móvil, para poder acceder a un sitio, o al menos para realizar cambios en la configuración de una cuenta.
Dado el impacto potencial de una violación a la seguridad, no resulta sorprendente que las autoridades respectivas le estén prestando cada vez mayor atención a este problema. La Oficina del comisionado de información (ICO) de Reino Unido acaba de imponer una multa récord de 400.000 libras a Talk Talk por ‘no implementar las medidas más básicas de seguridad’, en relación al ataque que sufrió esta compañía en octubre de 2015. A los ojos de la ICO, esta multa récord ‘sirve como una advertencia a otros en el sentido de que la ciberseguridad no es un asunto del área de informática, sino del directorio mismo’.
El reglamento general de protección de datos de la Unión Europea (GDPR) que entra en funciones en mayo de 2018 obligará a que las compañías notifiquen al regulador sobre las fugas de datos, con significativas multas si no protegen los datos personales. Aquí puede encontrar más información sobre esta regulación.
Recordamos el impacto de la fuga en Ashley Madison, un año después del ataque que produjo la fuga de datos de los consumidores, ofreciendo buenos consejos a cualquiera que considere encontrar a su pareja en línea, y para administrar una cuenta en línea.
Desarrollo de las amenazas informáticas en el tercer trimestre de 2016