Evolución de las amenazas informáticas en el tercer trimestre de 2019

Ataques selectivos y campañas de malware

Espionaje móvil dirigido a Oriente Medio

A fines de junio, informamos sobre los detalles de una campaña altamente selectiva, a la que llamamos ‘Operation ViceLeaker’, y que involucraba la propagación de muestras maliciosas para Android a través de mensajes instantáneos. La campaña afectó a decenas de víctimas en Israel e Irán. Descubrimos esta actividad en mayo de 2018, justo después de que las agencias de seguridad israelíes anunciaran que Hamas había instalado software espía en los teléfonos inteligentes de los soldados israelíes, y publicamos un informe privado en nuestro Threat Intelligence Portal. Creemos que dicho malware ha estado en desarrollo desde finales de 2016, pero que su distribución principal comenzó a fines de 2017. Los atacantes utilizaron dos métodos para instalar estos implantes: pusieron puertas traseras en aplicaciones legítimas para luego inyectaron el código malicioso de Smali; y crearon un mensajero legítimo de código abierto llamado ‘Conversaciones’ que contenía el código malicioso. Puede leer más sobre Operation ViceLeaker aquí.

APT33 refuerza su conjunto de herramientas

En julio, publicamos una actualización sobre las actividades entre 2016 y 2017 de NewsBeef (también conocido como APT33 y Charming Kitten), un actor de amenazas que se ha centrado en objetivos en Arabia Saudita y en países occidentales. NewsBeef carece de capacidades ofensivas avanzadas y anteriormente estuvo involucrado en esquemas de ingeniería social elaborados que aprovechan plataformas de redes sociales populares. En campañas anteriores, este actor de amenazas se basó en gran medida en el Marco de Explotación del Navegador (BeEF). Sin embargo, en el verano de 2016, el grupo implementó un nuevo conjunto de herramientas que incluía documentos de Office habilitados para macros, PowerSploit y la puerta trasera Pupy. La campaña más reciente utiliza este conjunto de herramientas junto con correos electrónicos de phishing, enlaces enviados a través de las redes sociales y aplicaciones de mensajería privadas independientes, así como ataques tipo watering-hole que usan sitios web de alto perfil infectados (algunos pertenecientes al gobierno saudí). El grupo ha ido cambiando múltiples características año tras año: tácticas, inyecciones maliciosas de JavaScript colocadas estratégicamente en sitios web comprometidos e infraestructura de comando y control (C2). Los suscriptores de nuestros informes de inteligencia privada reciben datos exclusivos y extraordinarios sobre actividades y campañas significativas de más de 1009 APTs en todo el mundo, entre ellos sobre NewsBeef.

Nuevos implantes FinSpy para iOS y Android circulan en Internet

Recientemente informamos sobre las últimas versiones de FinSpy para Android e iOS. Los gobiernos y las entidades policiales en todo el mundo usan este software de vigilancia para recopilar datos personales. Los implantes FinSpy para iOS y Android tienen una funcionalidad casi idéntica: pueden recopilar información personal: contactos, mensajes, correos electrónicos, calendarios, ubicación GPS, fotos, archivos en la memoria, grabaciones de llamadas telefónicas y datos de los mensajeros más populares. El implante de Android incluye funcionalidades para obtener privilegios de root al abusar de vulnerabilidades conocidas. La versión de iOS no proporciona vulnerabilidades de infección para sus clientes y, por lo tanto, solo se puede instalar en dispositivos con jailbreak, lo que sugiere que se requiere acceso físico para instalar el implante. Durante nuestra última investigación, detectamos versiones actualizadas de estos implantes en casi 20 países, pero creemos que el número real de infecciones podría ser mucho mayor.

Turla renueva su conjunto de herramientas

Turla (también conocido como Venomous Bear, Uroboros y Waterbug), un actor de amenazas de alto perfil y de habla rusa con un conocido interés en el ciberespionaje contra objetivos gubernamentales y diplomáticos, ha realizado cambios significativos en su conjunto de herramientas. En particular, el grupo ha envuelto su notorio malware KopiLuwak de JavaScript en un nuevo descargador llamado Topinambour, un nuevoarchivo NET que Turla está utilizando para distribuir y soltar su JavaScript KopiLuwak a través de paquetes de instalación infectados de programas de software legítimos, como VPN, para eludir la censura de Internet. Bautizado así por sus autores, Topinambour es el nombre alternativo de Jerusalem artichoke. Algunos de los cambios que el actor de la amenaza ha realizado son para evadir la detección. Por ejemplo, la infraestructura C2 usa direcciones IP que parecen imitar direcciones LAN comunes. Además, el malware es casi completamente ‘sin archivos’: la etapa final de infección, un troyano cifrado para administración remota, está incrustado en el registro de la computadora al que el malware puede acceder cuando esté listo. Los dos análogos de KopiLuwak: lostroyanos.NET RocketMan y PowerShell MiamiBeach se utilizan para el ciberespionaje. Creemos que el actor de la amenaza implementa estas versiones cuando las computadoras de los objetivos están protegidas con un software de seguridad capaz de detectar KopiLuwak. Los tres implantes pueden identificar huellas dactilares, recopilar información sobre el sistema y los adaptadores de red, robar archivos y descargar y ejecutar malware adicional. MiamiBeach también puede tomar capturas de pantalla. Puede leer más aquí.

CloudAtlas utiliza nueva cadena de infección

Cloud Atlas (también conocido como Inception) tiene una larga historia de operaciones de ciberespionaje dirigidas a industrias y organismos gubernamentales. Informamos sobre este grupo por primera vez en 2014 y hemos seguido rastreando sus actividades. Durante el primer semestre de este año, identificamos campañas centradas en Rusia, Asia Central y las regiones de Ucrania con conflictos militares en curso. Cloud Atlas no ha cambiado sus TTPs (Tácticas, Técnicas y Procedimientos) desde 2018 y continúa recurriendo a tácticas y malware existentes para comprometer objetivos de alto valor. El conjunto de intrusiones de Windows del actor de amenazas todavía utiliza correos electrónicos de phishing para apuntar a sus víctimas: estos están diseñados con documentos de Office que usan plantillas remotas maliciosas (incluidas en la lista de admitados por víctima) alojadas en servidores remotos. Anteriormente, Cloud Atlas descargaba directamente su implante ‘validador’, llamado PowerShower, después de explotar la vulnerabilidad Microsoft Equation (CVE-2017-11882) mezclada con CVE-2018-0802. En los últimos meses, hemos visto una nueva cadena de infección, que involucra una HTA polimórfica, un implante VBS nuevo y polimórfico destinado a ejecutar PowerShower, y la puerta trasera modular de segunda etapa Cloud Atlas que descubrimos en 2014.

Se descubre el malware bancario Dtrack

En el verano de 2018, descubrimos ATMDtrack, un malware bancario dirigido a bancos en India. Utilizamos YARA y Kaspersky Attribution Engine para tratar de descubrir más información sobre este malware ATM y encontramos más de 180 nuevas muestras de malware de una herramienta espía que ahora llamamos Dtrack. Todas las muestras de Dtrack que encontramos al principio eran muestras descargadas, ya que la carga útil real estaba cifrada con varios descargadores; logramos encontrarlas debido a las secuencias únicas compartidas por ATMDtrack y los volcados de memoria de Dtrack. Una vez que desciframos la carga útil final y utilizamos nuevamente el Kaspersky Attribution Engine, vimos similitudes con la campaña DarkSeoul, que data de 2013 y que se atribuyó al grupo Lazarus. Al parecer reutilizaron parte de su antiguo código para atacar al sector financiero y a centros de investigación en India. Nuestra telemetría indica que la última actividad detectada de DTrack fue a principios de septiembre de 2019. Este es un buen ejemplo de cómo las reglas adecuadas de YARA y un efectivo motor de atribución pueden ayudar a descubrir conexiones con familias de malware conocidas. En este caso, pudimos agregar otra familia al arsenal del grupo Lazarus: ATMDtrack y Dtrack. Puede encontrar nuestro informe público sobre Dtrack aquí.

Otras noticias sobre ciberseguridad

El ransomware Sodin ataca a MSP

En abril, el ransomware Sodin (también conocido como Sodinokibi y REvil) llamó nuestra atención, sobre todo, por la forma en que se propagó. El troyano explotó la vulnerabilidad CVE-2019-2725 para ejecutar un comando PowerShell en un servidor vulnerable de Oracle WebLogic, lo que permitió a los atacantes cargar un descargador en el servidor, que luego instaló la carga útil del ransomware. Los parches para esta vulnerabilidad se publicaron en abril, pero a fines de junio se descubrió una vulnerabilidad similar: CVE-2019-2729. Sodin también llevó a cabo ataques contra MSPs. En algunos casos, los atacantes utilizaron las consolas de acceso remoto Webroot y Kaseya para propagar el troyano. En otros, los atacantes penetraron la infraestructura de MSP utilizando una conexión RDP, privilegios elevados, soluciones de seguridad desactivadas y copias de seguridad, para luego descargar el ransomware en las computadoras cliente. Este ransomware también era inusual porque no requería que la víctima llevara a cabo ninguna acción. Nuestras estadísticas indican que la mayoría de las víctimas se encontraban en la región de Asia-Pacífico, incluyendo Taiwán, Hong Kong y Corea del Sur.

Este ransomware sigue siendo un gran dolor de cabeza para consumidores y empresas. La recuperación de datos cifrados por un troyano ransomware suele ser imposible. Sin embargo, en algunos casos lo logramos. Entre los ejemplos recientes, tenemos los programas maliciosos Yatron y FortuneCrypt. Si alguna vez usted se enfrenta a una situación en la que un troyano ransomware ha cifrado sus datos y no tiene una copia de seguridad, siempre vale la pena consultar el sitio No More Ransom para ver si hay un descifrador disponible. Puede encontrar nuestros descifradores para ambos programas ransomware mencionados aquí y aquí.

El impacto de la criptominería

Los mineros maliciosos son programas diseñados para aprovechar subrepticiamente la CPU de la víctima para extraer criptomonedas. Al igual que el ransomware, el modelo comercial es simple: infectar la computadora de la víctima, usar la potencia de procesamiento de su CPU o GPU para generar monedas y ganar dinero en el mundo real a través de intercambios y transacciones legales. A diferencia del ransomware, la víctima ignora que está infectada: la mayoría de las personas rara vez usa la mayor parte de la potencia de procesamiento de su computadora, y los mineros aprovechan del 70 al 80 por ciento de esa potencia ociosa. Los mineros se pueden instalar junto con adware, juegos pirateados y otro contenido pirateado. Sin embargo, también hay otro modelo: el uso de un script de minería incrustado que se inicia cuando la víctima abre una página web infectada. Cuando se ha infectado una red corporativa, la capacidad de CPU disponible para los cibercriminales puede ser enorme. ¿Pero cuál es el impacto de la criptominería? Recientemente intentamos cuantificar el impacto económico y ambiental de los criptomineros y así evaluar el beneficio positivo de protegernos contra ellos.

El ahorro total de energía se puede calcular usando la fórmula ·N, donde es el valor promedio del aumento en el consumo de energía del dispositivo de la víctima durante el proceso de minería web, y N es el número de intentos bloqueados de acuerdo con los datos de KSN (Kaspersky Security Network) para 2018. Esta cifra es igual a 18,8 ± 11,8 gigavatios (GW), el doble de la tasa promedio de consumo de energía de todos los mineros de Bitcoin en el mismo año. Para evaluar la cantidad de energía ahorrada en función de esta tasa de consumo de energía, este número se multiplica por el tiempo promedio que los dispositivos víctimas pasan en la criptominería; es decir, de acuerdo con la fórmula ‘· N · t’, donde ‘t’ es el tiempo promedio que los criptomineros habrían estado trabajando si no hubieran sido bloqueados por nuestros productos. Dado que este valor no se puede obtener de los datos de Kaspersky, utilizamos información de fuentes abiertas proporcionadas por investigadores externos, según la cual la cantidad estimada de electricidad ahorrada por los usuarios de nuestros productos oscila entre 240 y 1.670 megavatios hora (MWh). Utilizando los precios promedio para consumidores individuales, esta cantidad de electricidad podría costar hasta $ 200 000 para los residentes en Norteamérica o hasta € 250 000 para los residentes en Europa.

Puede leer nuestro informe aquí.

Panorama de amenazas para Mac OS

Hay quien todavía cree que no hay amenazas serias para Mac OS. Sin duda hay menos amenazas que para Windows, principalmente porque cuenta con más usuarios, lo que significa que hay un grupo más grande de víctimas potenciales para que los atacantes. Sin embargo, a medida que la cantidad de usuarios de Mac OS crece, también lo hace la de amenazas.

Nuestra base de datos contiene actualmente 206 759 archivos maliciosos y potencialmente no deseados únicos para Mac OS. De 2012 a 2017, la cantidad de usuarios que enfrentan ataques ha ido creciendo año tras año, alcanzando un pico en 2017, cuando bloqueamos ataques en unas 255 000 computadoras con Mac OS. Desde entonces, ha habido una caída, y en la primera mitad de 2019, bloqueamos alrededor de 87 000 ataques. La mayoría de las amenazas para Mac OS en 2019 cayeron en la categoría de adware: estas amenazas son más fáciles de crear y ofrecen un mejor retorno de la inversión para los cibercriminales.

El número de ataques de phishing contra Mac OS también ha aumentado año tras año. Durante el primer semestre de 2019, detectamos casi 6 millones de ataques de phishing, el 11,8% de los cuales estaba dirigido contra usuarios corporativos. Los países que enfrentaron más ataques de phishing fueron Brasil (30,87%), India (22,08%) y Francia (22,02%). El número de ataques de phishing dirigidos contra el sistema de Apple también ha crecido en los últimos años, en un 30-40% cada año. En 2018, hubo casi 1,5 millones de estos ataques, y solo en la primera mitad de 2019, el número superó los 1,6 millones: un aumento del 9% respecto al año anterior.

Puede leer nuestro informe sobre el panorama actual de amenazas de Mac OS aquí.

Vulnerabilidades del hogar inteligente

Uno de nuestros colegas eligió convertir su hogar en un hogar inteligente e instaló un sistema Fibaro Home Center, para que pudiera administrar de forma remota dispositivos inteligentes en el hogar: luces, sistema de calefacción, refrigerador, sistema estéreo, calentador de sauna, detectores de humo, sensores de inundación, cámaras IP y timbre. Invitó a los expertos del equipo Kaspersky ICS CERT a investigarlo para ver qué tan seguro era. Los investigadores conocían el modelo del hub de hogar inteligente y la dirección IP. Decidieron no usar el protocolo Z-Wave, que utiliza el centro de hogar inteligente para hablar con los dispositivos, porque esto requería proximidad física a la casa. También descartaron la idea de explotar el intérprete de lenguaje de programación: el hub de Fibaro utilizó la versión parchada.

Nuestros investigadores pudieron encontrar una vulnerabilidad de inyección SQL remota, a pesar de los esfuerzos de Fibaro para evitarlos, y un par de vulnerabilidades de ejecución remota de código en el código PHP. Si se explotan, estas vulnerabilidades permiten a los atacantes obtener derechos de acceso a la raíz en el hub inteligente, dándoles control total sobre él. También encontraron una grave vulnerabilidad en la nube de Fibaro que podría permitir que un atacante acceda a todas las copias de seguridad cargadas desde los centros de Fibaro en todo el mundo. Así es como nuestro equipo de investigación adquirió los datos de respaldo almacenados por Fibaro Home Center ubicado en esta casa en particular. Entre otras cosas, esta copia de seguridad contiene un archivo de base de datos con mucha información personal, incluyendo la ubicación de la casa, los datos de ubicación geográfica del teléfono inteligente del propietario, la dirección de correo electrónico utilizada para registrarse con Fibaro, información sobre dispositivos inteligentes en la casa del propietario e incluso la contraseña del propietario. Gracias a Fibaro Group no solo por crear un producto bastante seguro, sino también por trabajar estrechamente con nuestros investigadores para reparar rápidamente las vulnerabilidades que les reportamos. Puede leer la historia completa aquí.

Seguridad de edificios inteligentes

Este trimestre también analizamos la seguridad de los sistemas de automatización en edificios: sensores y controladores para administrar ascensores, ventilación, calefacción, iluminación, electricidad, suministro de agua, video vigilancia, sistemas de alarma, sistemas de extinción de incendios y otros más en instalaciones industriales. Dichos sistemas se utilizan no solo en edificios de oficinas y residenciales, sino también en hospitales, centros comerciales, prisiones, producción industrial, transporte público y otros lugares donde es necesario controlar grandes áreas de trabajo o vivienda. Observamos las amenazas en vivo para los sistemas de automatización basados en edificios para ver qué malware encontraron sus propietarios en el primer semestre de 2019.

La mayoría de las amenazas bloqueadas no fueron dirigidas ni específicas de los sistemas de automatización basados en edificios, pero el malware común que se encuentra regularmente en redes corporativas no está relacionado con los sistemas de automatización. Dichas amenazas incluso pueden tener un impacto significativo en la disponibilidad e integridad de los sistemas de automatización, desde el cifrado de archivos (incluidas las bases de datos) hasta la denegación de servicio en equipos de red y estaciones de trabajo debido al tráfico malicioso y las vulnerabilidades inestables. El spyware y las puertas traseras representan una amenaza mucho mayor, ya que los datos de autenticación robados y el control remoto que proporciona se pueden utilizar para planificar y lanzar posteriormente un ataque dirigido contra el sistema de automatización de un edificio.

Automóviles inteligentes y dispositivos conectados

Kaspersky investigó en varias oportunidades en los últimos años la seguridad de los automóviles inteligentes (aquí y aquí), descubriendo una serie de problemas de seguridad. A medida que los vehículos se vuelven más inteligentes y más conectados, también se ven más expuestos. Sin embargo, esto no solo se aplica a los automóviles inteligentes y las aplicaciones respectivas. Ahora hay toda una industria de dispositivos de posventa diseñados para mejorar la experiencia de conducción, desde escáneres de automóviles hasta dispositivos de ajuste. En un informe reciente, revisamos varios dispositivos automotrices conectados y revisamos su configuración de seguridad. Este ejercicio nos proporcionó un primer vistazo a los problemas de seguridad en estos dispositivos. Nuestra revisión incluyó un par de escáneres automáticos, una cámara en el tablero, un rastreador GPS, un sistema de alarma inteligente y un sistema de monitoreo de presión y temperatura.

Encontramos la seguridad de estos dispositivos más o menos adecuada, dejando de lado problemas menores. Esto se debe en parte a la funcionalidad limitada del dispositivo y de consecuencias no graves en caso de un ataque exitoso. También se debe a la vigilancia de los vendedores. Sin embargo, a medida que avanzamos hacia un futuro cada vez más conectado, es importante recordar que cuanto más inteligente es un objeto, más atención se debe prestar a la seguridad en su desarrollo y actualización: el desarrollo descuidado o una vulnerabilidad sin parches podría permitir que un atacante secuestre el automóvil de una víctima o espíe a toda una flota de automóviles.

Continuamos desarrollando KasperskyOS para ayudar a los clientes a proteger los sistemas conectados, incluyendo dispositivos móviles y PCs, dispositivos de Internet de las cosas, sistemas inteligentes de energía, sistemas industriales, sistemas de telecomunicaciones y sistemas de transporte.

Si está considerando comprar un dispositivo para que su automóvil sea un poco más inteligente, debe pensar en los riesgos de seguridad. Verifique si el dispositivo tiene alguna vulnerabilidad y si es posible aplicarle actualizaciones de seguridad. No compre sin reservas el producto lanzado más recientemente, ya que puede contener una falla de seguridad que aún no se ha descubierto: la mejor opción es comprar un producto que ya ha sido actualizado varias veces. Finalmente, siempre considere la seguridad de la ‘dimensión móvil’ del dispositivo, especialmente si usa un dispositivo Android: si bien las aplicaciones hacen la vida más fácil, una vez que un teléfono inteligente es golpeado por malware, muchas cosas pueden salir mal.

Robo de información personal

Nos hemos acostumbrado a las noticias sobre fugas de datos. Ejemplos recientes incluyen el robo de 23 205 290 direcciones de correo electrónico junto con contraseñas débilmente almacenadas como hashes codificados SHA-1 base64 de CafePress. De forma preocupante, el pirateo fue reportado por Have I Been Pwned : CafePress no notificó a sus clientes sino hasta unos meses después de que ocurriera la fuga.

En agosto, dos investigadores israelíes descubrieron huellas digitales, datos de reconocimiento facial y otra información personal del sistema de control de acceso biométrico Suprema Biostar 2 en una base de datos de acceso público. La exposición de datos biométricos es de particular preocupación. Si un hacker obtiene una contraseña, no es problema cambiarla, pero los datos biométricos son para toda la vida.

Facebook ha enfrentado críticas en varias ocasiones por no manejar de forma adecuada los datos de sus clientes. En la última lista de incidentes, se encontraron en línea cientos de millones de números de teléfono vinculados a cuentas de Facebook en un servidor que no estaba protegido con una contraseña. Cada registro contenía una identificación única de Facebook y el número de teléfono que figura en la cuenta, lo que dejaba a los clientes afectados de Facebook expuestos a llamadas de spam y ataques de intercambio de SIM.

El 12 de septiembre, la compañía de juegos móviles Zynga informó que algunos datos de cuentas de jugadores podrían haber sufrido el acceso ilegal de ‘hackers externos’. Posteriormente, un pirata informático llamado Gnosticplayers afirmó haber violado la base de datos de jugadores de Words With Friends, así como los datos de Draw Something y el juego discontinuado OMGPOP, exponiendo los datos de más de 200 millones de jugadores de Android e iOS. Si bien Zynga detectó la violación y notificó a los clientes, es preocupante que las contraseñas se hayan almacenado en texto sin cifrar.

Los consumidores no tienen control directo sobre la seguridad de sus datos personales que divulgan a los proveedores en línea. Sin embargo, podemos limitar el daño de una violación de seguridad en un proveedor en línea asegurándonos de crear contraseñas únicas y difíciles de adivinar, o usar un administrador de contraseñas para que lo haga por nosotros. Al hacer uso de la autenticación de dos factores, cuando la ofrece un proveedor en línea, podemos reducir aún más el impacto de cualquier violación.

También vale la pena tener en cuenta que piratear el servidor de un proveedor en línea no es la única forma en que los ciberdelincuentes pueden obtener contraseñas y otros datos personales. También pueden directamente recoger los datos almacenados en la computadora de un consumidor. Esto incluye datos almacenados en navegadores, archivos del disco duro, datos del sistema, inicios de sesión de cuentas y más. Nuestros datos muestran que en el primer semestre de 2019, 940 000 personas fueron atacadas por malware diseñado para robar dichos datos. Recomendamos el uso de software especializado para almacenar contraseñas de cuenta y detalles de tarjetas bancarias, en lugar de confiar en su navegador. Puede encontrar más información sobre cómo los ciberdelincuentes atacan los datos personales en las computadoras aquí.