Contramedidas para Emotet: sustituyen malware por Gif’s.
En estos últimos días ha saltado otra vez a la palestra el troyano Emotet, toda una obra maestra de ingeniería de programación, pero dedicada a hacer el mal, y por dos cuestiones totalmente diferentes.
Ya nombramos a Emotet en una entrada de septiembre del año pasado, que era cuando estaba en auge. Este software se instala en los pcs, y como al principio no hace nada “malo”, pasa desapercibido con alguna de sus variantes, a los antivirus.
Es un contenedor, osea, que instala plugins a medida, según sector, país, etc…. digamos que el que creó el software, e infectó a ordenadores, vende campañas a medida a otros piratillas, que no se hacen su software.
Casi siempre se ha usado en España para robar datos bancarios, pero ha habido otras versiones, o como hemos dicho, otros plugins/campañas.
Pues una de estas noticias, que recoge Zdnet, y según el grupo hacker Cryptolaemus, ha logrado sustituir una buena parte de estas descargas de payloads, por Gifs animados. Según este grupo, quien creó Emotet, utilizó unas librerias opensource que se encuentra en Github, y que hace que las transferencias de los payloads no sean de forma segura.
Y la segunda, la semana pasada, es que “ha regresado” Emotet. Es una campaña dirigida a empresarios americanos, que se ha podido cuantificar en algo más de un cuarto de millón de emails, y que quieren entrar con la excusa de la factura.
El autor de esta campaña es el grupo TA52, y con este gancho, lo que intenta es instalar el propio Emotet o contenedores adicionales.
Y aunque para lo que más se ha usado este malware es para el robo de credenciales bancarias en ciertos países, puede estar inactivo esperando su addon, o robar credenciales de WordPress para tener sitios donde alojar material infectado, o hacer campañas a los contactos del infectado.
Y si creéis que habéis sido infectados, AQUÍ un artículo de INCIBE donde se os explica en detalle de como examinar vuestro equipo, o como limpiarlo si es necesario.
- Publicado en Consultoría, Hazlo tu mismo, Seguridad
Primera edición del Cyberinsuranceday
Estaba anunciado para hace ya unas semanas, el primer Cyber Insurance Day, el día Nacional del Ciber-seguro, pero las circunstacias que todos conocemos, llevaron a aplazarlo.
Finalmente será la semana que viene, el 18 y 19 de Junio, en formato Online, como no, y con asistencia gratuita registrándote AQUÍ.
Con un programa muy completo, con las mejores marcas y representantes, INCIBE y CCN-CERT, habrá ponencias, talleres y zona de expositores virtual.
Nosotros llevamos apostando por los Ciber seguros desde el año pasado, y aparte del servicio de MGS Ciberseguridad, que incluye Endpoint de Inteligencia artificial+seguro de Ciber riesgo, trabajamos con corredurías especializadas en seguros, para tener siempre la mejor opción para nuestros clientes.
- Publicado en Consultoría, Evento, Noticias
Ya la han colado.
Llevan semanas publicándose noticias sobre si Apple y Google iban a colaborar con los gobiernos para realizar una app a nivel mundial, para controlar el Covid.
A continuación, y en dos partes, junto con nuestros colaboradores de Tecnogados, os vamos a explicar que ha hecho Google a sus usuarios de Android. Es el primer artículo “conjunto”, ya que en cualquier otro tema, que tenga connotaciones legales, os daremos las dos versiones de nuevo.
¿Como lo iban a hacer? Pues instalándonos una app en nuestro dispositivo, geolocalizándonos, y a través de Bluetooth hablando con otros dispositivos para ver si estamos en contacto con gente infectada, o sitios que hayan sido foco.
Ya algunos países dijeron que tal como lo querían hacer estas empresas, no cumplían las directrices en privacidad y protección de datos, que habría que unificar criterios, a nivel Europeo mínimo, pero se negaron.
Pues bien, la cosa ha quedado que si vas a ajustes de Android, y Google, ya tenemos un apartado, que forma parte del sistema operativo, y nos lo han colado bien. Se llama “Notificaciones de exposición al COVID-19”.
En principio, esta es la base que hace de puente entre los diferentes programas de las regiones sanitarias, ve por donde te mueves, que dispositivos hay cerca, se comunica con ellos con “IDs aleatorios”, comprueba y coteja si están infectados con la base de datos de la autoridad sanitara, etc….
Amplían más información de como funciona, en la web de Google, AQUÍ.
- Publicado en Consultoría, Noticias, Privacidad
Otro artículo de autoprotección: metadatos en ficheros ofimáticos.
Alguna vez hemos hablado de la importancia de los metadatos, aunque casi nadie se la dé (ni a los metadatos ni a muchas cosas en Ciberseguridad).
El artículo en cuestión era sobre un asesino en serio y como el FBI lo descubrió por lo anónimos que envío en disquette (si, un soporte de información externo de hace no muchos años).
Pues hoy en día se sigue usando, y mucho, los metadatos para temas de investigación Osint, ingeniería social, traceo de personas dentro de una organización, localización física, etc…
El caso que nos ocupa son los archivos ofimáticos, y que guardan estos:
- La versión exacta del software usado,
- Fecha y hora exacta, que no miente, a no ser que probemos que nuestro uso horario está en manual, y desincronizado, como vi en una ocasión (y no era queriendo, pero le daba lo mismo).
- Los datos propios del archivo, como formato, párrafos, revisiones, anotaciones, etc…
- Las máquinas por las que ha pasado el archivo, junto con el nombre de red, o servidores. También nombres de los usuarios o del registro del software.
- Ampliando lo anterior, pueden ir también datos de información de identificación personal PII, como encabezados de correo electrónico, listas de distribución, plantillas….
- Texto, columnas o filas ocultas, comentarios y datos XML personalizados.
- Macros, archivos incrustados, objetos, filtros y hasta la caché.
- Encuestas de Excel.
Y podríamos seguir, con cualquier tipo de software ofimático, e ir sumando datos.
Y a la gente que le da igual, ¿y que van a hacer con esos datos?
Pueden enviarnos scripts o macros personalizados, apuntando a vulnerabilidades que nos afecten para infectarnos con software espía o de control.
Saber nombres de servidores, máquinas de la red, junto con nombres de usuarios, para apuntar y escalar privilegios.
Cualquiera de estos datos puede ser usado en nuestra contra en un tribunal, ya que se aceptan como prueba. Esto nos lo ampliará nuestro colaborador de la empresa Tecnogados.
- Publicado en Consultoría, Formación, Hazlo tu mismo, Privacidad
¿Y porqué no puedo usar mi email corporativo para registrarme en sitos?
Es una pregunta que nos hacen muy, muy, muy, a menudo cuando hacemos una auditoría, una campaña de phising simulada, o una formación.
Un trabajador, que va a su lugar de trabajo, suele estar más delante del ordenador de su puesto, que en el de su casa – lógico – y quiere aprovechar todo ese tiempo, o el descanso de la comida, o el antiguo del cigarro, para cosas personales.
Sobre si es legal o no, que seguro nuestro colaborador Juan Carlos de Tecnogados, nos amplía el tema, nosotros os vamos a explicar porque no es nada recomendable usar el email corporativo para usos personales.
Las filtraciones de redes sociales, marketplaces, sitios de contactos, etc… que suelen ser ( y cada día más) muy numerosas, suelen saltar a la luz primero en en la Dark Web, y sobre todo intentando aprovechar estos datos, para entrar directamente en una empresa.
¿Que pueden hacer en una empresa con el acceso al correo electrónico? Pues primero información, administrativa, contratos, facturas, cualquier tema económico, que sabiendo que un día no vas a estar, pueden pedir una rectificación, y que la transferencia o el modo de pago destino, no sea el habitual.
Luego, si la empresa es mediana o grande, recuperar las credenciales de red, suelen ir implícitas al correo electrónico, por lo que ya obtendrían acceso a la red corporativa fácilmente.
Desde ahí, intentar llegar otro sistema, de más alto nivel, un servidor por ejemplo, con aumento de credenciales, pivoting, etc…. y llegar a datos sensibles, o credenciales más altas, para llegar a datos más sensibles.
Y datos e información (insistimos porque son los activos de la empresa), saber cuando alguien está fuera para ataques sociales (el del CEO por ejemplo) o vender esta información a la competencia, si se trata de proyectos de desarrollo.
Y nos podríamos pasar el día dando ejemplos, de porque es tan peligroso el email corporativo: por las filtraciones de estos, y porque cuando sepamos que hemos sido vulnerados, será tarde.
- Publicado en Consultoría, Formación, Malos hábitos, Protección de datos
El riesgo cibernético por sectores: salud Parte I
Que la Ciberseguridad es cosa de todos, es algo que debería esta ya bien claro en este 2020, ninguna empresa se salva de ser objetivo de “ataques”, infecciones, timos y demás variantes.
Pero hay sectores, que iremos enumerando en las próximas semanas, que por sus clientes, sus datos o sus proyectos, van a ser objetivo directo de los delincuentes informáticos.
Uno de ellos es el sector médico. Se puso como objetivo el digitalizar este área, desde consultas pequeñas (las pruebas se envían digitalmente y ya no las llevamos ya en papel), o de los hospitales medios y/o grandes, que en este mismo proceso, quieren ahorrar tiempo y materiales.
Ahora ya no solo hay bases de datos de clientes (pacientes) o proveedores, ahora también hay datos de la vida, dolencias, hábitos de salud, tratamientos, operaciones, ADN, identificación dental u ósea.
¿Y como se guardan estos datos? ¿Y como se tratan? ¿Se envían a terceros con nuestro consentimiento? Solo en el ámbito de la privacidad se plantean muchas dudas, que hay que saber cubrir, no sólo legalmente, que la RPGD está al acecho y ya no hay avisos, sino multas.
Hay que técnicamente poner todos los medios para que estos datos estén a buen recaudo, y bien tratados. Ya no sólo designar un “delegado” de estos datos. Bases de datos encriptadas, copias escaladas y en diferentes soportes y sitios, credenciales que caduquen y se revisen, y un largo etc…
¿Pero quién va a querer los datos de los enfermos? Desde hace ya tiempo, los datos son dinero, sino que se lo pregunten a las empresas que usan el Big Data de sus clientes para monetizarlo en un área que no existía antes.
Estos datos son muy golosos y sobre todo vendibles. Aunque no se puede hacer, la competencia o las mutuas estarían encantadas de comprarlos, o sino redes mafiosas. También se han visto suplantaciones de identidad, para el suministro de psicotrópicos, para el mercado negro.
Y llegando al plan o novelesco de ciencia ficción o Ciberpunk, que ya no estamos muy lejos, delincuentes que puedan modificar aparatos implantados, como marcapasos o bombas de insulina, que ya se ha demostrado que son poco seguros.
Si se tiene acceso a sistemas, también se podría cambiar el historial, una medicación, una intervención, y si no hay una supervisión muy concreta del paciente podría ser un ataque directo contra su vida.
¿Y asesinatos con estos medios? No es muy descabellado si ya se han usado envenenamientos a través de terceros con agentes químicos y biológicos.
Suena muy peliculero, pero es la realidad de 2020, ya que en 2019 hubo varios incidentes:
- Ataque a Hospitales Rumanos para robar datos.
- ¿Porqué el sector médico? Artículo de Cybersecurity News
- Ataque a Prosegur con Ransomware también afectó a hospitales.
- Como varios ataques en Hospitales de EEUU causaron muertos.
- Implantes hackeables
- Marcapasos hackeables.
- Listado de casos que están siendo investigados en EEUU por Ciberataques en sector médico.
- Y cuando se empezó a ver esta epidemia, el ataque al servicio de salud Britanico.
Hemos empezado a trabajar con algún centro médico, ya que podemos abarcar todas sus necesidades:
– La auditoría informática
– La auditoría industrial (en este caso todos los robots y “aparatos” conectados que tiene un centro de salud).
– La formación específica en Ciberseguridad
– La protección total 24/7 Blackberry Cylance.
– Seguro de ciber riesgo o ciber extorsión.
- Publicado en Consultoría, Noticias, Protección de datos, Seguridad
Telegram elimina canales con contenido que infringe el Copyright.
Tal como anunciaron varios medios generalistas la semana pasada, Telegram ha eliminado, por fin, canales que compartían material protegido por derechos de autor.
Eran canales donde se publicaban links de libros y revistas en pdf, pero también vídeos de cursos online por ejemplo.
Ha sido gracias as la asociación CEDRO, “Centro Español de Derechos Reprográficos”, la asociación sin ánimo de lucro de autores y editores de libros, revistas, periódicos y partituras, editadas en cualquier medio y soporte.
Aunque queremos creer que nosotros, y empresas como la nuestra, hemos tenido algo que ver, ya que hemos inundado de correos y peticiones no solo Telegram, sino otras plataformas y buscadores.
Y eso, porque tenemos un servicio de persecución de infracciones de derechos de autor, ProMonitor, donde ponemos a disposición de los autores nuestra experiencia y herramientas para perseguir a quien hace uso ilícito de su obra, infringiendo al tipo de norma que se hayan suscrito los autores.
Aunque hay diferentes tipos de derechos de autor, y cada uno es libre de acogerse a ellos (podéis leer nuestro artículo de Creative Commons AQUÍ), no somos nadie para vulnerar esa decisión.
Como defensores del software libre, del copy left, creative commons y todas las variantes, también defendemos que si alguien, es autor, vive de ello, y quiere acogerse a licencias privativas, está en todo su derecho, y no somos quien para ganar dinero a su costa.
Porque si, no es solo que se usen copias ilícitas, cuando las originales tiene precios suficientemente bajos, sino que se trafica y comercia con ellas, ganando dinero gente que no ha contribuido a su creación o publicación.
Por ello, para autores, tanto vídeo como pdf, y próximamente inventores, obras gráficas, etc… tenemos un servicio de vigilancia – ProMonitor – y de retirada de links que infringen vuestros derechos, a un precio realmente competitivo.
Pregúntanos, o déjanos tus datos y te contactaremos.
- Publicado en Consultoría, Hazlo tu mismo, Noticias, Productos, Protección de datos, Seguridad, Sobre TECNOideas, software libre
El riesgo cibernético por sectores: salud Parte II (farmacéuticas)
Siguiendo con el tema salud, su transformación digital a marchas forzadas, y que no siempre va de la mano de la Ciberseguridad, hoy hablaremos de otra rama, el sector Farmacéutico.
Aunque tecnificadas desde hace años, no siempre han prestado igual importancia a la Ciberseguridad, aunque muchas han sufrido en sus carnes ataques específicos o espionaje industrial.
Como la mayoría de empresas de todos los sectores, no han divulgado de modo propio las fugas de información sufridas a lo largo de los años, y no podemos cuantificar totales, pero si recabar algo de información.
Las farmacéuticas gastan mucho dinero al año desarrollando productos, así que el espionaje industrial que antes se trataba de infiltrar una persona, ahora puede ser más fácil a través de una infección y control de un sistema.
Robar estos datos y venderlos a otras que no les cueste dinero desarrollar un fármaco “caro”, y así venderlo a un 10% del precio de la competencia, es otro de los planteamientos.
Y no solo lo decimos nosotros:
y Farmaretail para sus asociados.
TECNOideas 2.0 Ciberseguridad, cuenta con profesionales para realizar auditorías de seguridad, tanto en sistemas informáticos, como en sistemas industriales IoT, sensores, robots, cadenas de producción, logisticas…
No dude en ponerse en contacto con nosotros para que le facilitemos un presupuesto sin compromiso, y así comprobar que estamos a su alcance, o que le propongamos una formación para su organización.
- Publicado en Consultoría, General, Noticias, Protección de datos, Seguridad
Jit.si una buena alternativa para video llamadas.
En estos días que todos nos vemos obligados a no movernos, y por fin, realizar video llamadas para sustituir as las reuniones y visitas, todo el mundo usa una o varias soluciones de diferentes marcas.
Hay algunas que son inseguras, otras que no respetan la privacidad del usuario ni aunque paguen, y usan las conversaciones para fines publicitarios, y un largo etc.
Pero hay una, que en principio no es mucho mejor que las demás, pero que con un poco de maña, podemos hacer robusta, privada y segura.
Se llama Jit.si, y es de las soluciones más fáciles para comenzar a usar. Entras en su web, seleccionas un nombre de sala, y le pones, o no contraseña. Envías el link de la sala y la contraseña, y a través del navegador los invitados – previas preguntas de permisos – podrán hablar y verte, sin límite en cuanto al número de conexiones.
Lo bueno está en que es de código abierto, y lo que te ofrecen es ver el código (desde su web o Github), y recomendaciones para instalarlo en tu propio servidor, con tu propia seguridad, quitar el rastreo de Google,
Tiene integración con Chrome, Office 365, calendario de Google, chat integrado, diferentes resoluciones de cámara (compatible con protocolos Opus , VP8 y WebRTC) y la mano virtual, que levantas para pedir la voz, muy útil cuando sois varios en la sala.
Hay mucho más en cuanto al uso, streaming, ver vídeos Youtube, enmudecer o que entren todos enmudecidos, aplicación para Android o Ios, que podéis explorar con su uso. En Wikipedia hay un buen artículo sobre características.
Hace un par de años, y después de algún cambio de titularidad y nombre de la empresa que más colaboraba y llevaba el proyecto, fue comprada por 8×8, que ofrece diferentes servicios de videollamada basados en esta plataforma, de pago, junto con más soluciones de comunicaciones.
Creo que el mejor ejemplo de que creemos en una solución es que nosotros lo usemos, y lo hacemos. También el gobierno de España para cambiar el sistema de chiste que tenían para las ruedas de prensa (un grupo de Whatsapp para recibir las preguntas, que las hacía un portavoz), y desde el 9 de abril tienen Jit.si como solución.
Recordad que no hay solución segura al 100%, que siempre tenemos que estar actualizando, investigando, comprobando, para hacer todo nuestro entorno mucho más seguro.
Y si tiene una empresa, y no se fia, como nosotros, de casi ninguna solución y quiere ofrecer una solución personalizada a las reuniones con sus clientes y proveedores, le podemos realizar la instalación de Jit.si.
- Publicado en Consultoría, Hazlo tu mismo, Productos
Exposición de activos OT
En un entorno globalizado, y en plena expansión de la “mal” llamada integración IT/OT, realizamos una serie de búsquedas de activos OT que nuestras empresas tienen publicados en Internet.
Así evaluamos el nivel real de exposición, y extraemos ciertas conclusiones en materia de Ciberseguridad, en entornos industriales.
La llamada industria 4.0 obliga a muchas empresas a tomar la decisión de conectar sus dispositivos industriales a la “red”.
Con ello ofrecen mejores servicios, o simplemente tareas de monitorización y optimización de sus procesos. También para acceso remoto a estos dispositivos mediante telecontrol, o para realizar tareas de mantenimiento sobre los mismos.
Toda esta conectividad, ofrece un amplio espectro de funcionalidades positivas en toda la cadena de producción o control.
Pero por otra parte oculta una serie de aspectos preocupantes en materia de Ciberseguridad frente a ataques dirigidos a OT, o accesos incontrolados a los sistemas.
Son generalmente sistemas de alta disponibilidad 24×7 o infraestructuras críticas, por lo que la preocupación es mayor.
Antecedentes
Click para ampliar.
Tras una búsqueda de activos expuestos a Internet dentro el estado español, realizando búsquedas filtradas para ciertos modelos, protocolos de comunicación o servicios expuestos, podremos extraer una serie de conclusiones, afirmaciones y categorizaciones sobre la exposición y vulnerabilidad de estos activos, evaluando un rango de vulnerabilidad de los mismos.
Operativa
Se realiza una búsqueda exhaustiva de algunos de los equipos mas comunes y utilizados en las empresas en materia de automatización.
Por ejemplo, plc’s de Siemens, Omron ,Modicon, Mitsubishi, y equipos que utilizan el protocolo (de propósito general y ampliamente utilizado y desplegado) Modbus, junto con routers industriales de acceso remoto Ewon .
La muestra se basa en la recolección de información de los diversos elementos publicados, y el análisis de puertos, acceso sin credenciales y servicios activos desactualizados según cve’s:
- Modicon 463 equipos
- Ewon 102 equipos
- Siemens S7 394 equipos
- Omron 486 equipos
- Modbus 1367 equipos
Después de realizar todo el análisis y filtrar los datos, los resultados en cuanto a vulnerabilidades de los equipos y servicios expuestos se resume de la siguiente forma, en base al riesgo calculado en base a:
Número de equipos expuestos por provincia, puertos abiertos, posible acceso sin credenciales y servicios desactualizados.
Valorándolos de la siguiente forma:
- 0-5 Leve
- 5-7 Media
- 7-10 Grave
Como conclusión final, se observa que existen centenares de dispositivos expuestos, que tal vez deberíamos plantearnos si realmente deben estar conectados a Internet
En caso afirmativo aplicar sobre estos elementos de OT, las mismas políticas de seguridad del área de IT, actualizando firmware’s o servicios que corren sobre estos sistemas.
Jordi ubach @jubachm
- Publicado en Consultoría, Informática industrial
Español 
Català