Desmantelado Emotet, el enemigo público número uno
Emotet estaba considerado el virus más peligroso del mundo. Activo desde 2014, capaz de secuestrar equipos y solicitar un pago a sus víctimas y con un alcance global, se había convertido en un verdadero dolor de cabeza para miles de empresas. En Estados Unidos se estimaba que cada acción de este troyano generaba en las empresas afectadas más de un millón de dólares para resolver la incidencia causada. Por supuesto, también ha campado a sus anchas por España. Pero ahora, finalmente, ha sido desmantelado Emotet, el enemigo público número uno.
Sin ir más lejos, este “malware” fue el más empleado por los cibercriminales durante el pasado mes de diciembre para robar datos a las empresas. Se calcula que afectó a un 15% de las compañías españolas, como podéis comprobar en ESTE INFORME del 7 de enero de Check Point Software Technologies, un proveedor global de soluciones de seguridad informática. En su blog también encontraréis un ranking de las principales familias de malware que esta empresa realiza periódicamente. En diciembre Emotet volvía a estar en el número uno de peligrosidad.
Y decimos “malware” entre comillas, porque emotet, tal como explicamos en un artículo anterior AQUÍ, es un contenedor, que puede aceptar diferentes módulos o “plugins”, para realizar acciones concretas, por zonas, por sistemas, etc…
Una acción global de la policía
Aquí arriba tenéis una interesante infografía de Europol, la Unión Europea para la Cooperación Policial, donde se explica claramente el peligro de Emotet. Tan malicioso era este malware que se ha necesitado una intervención internacional a gran escala para su desmantelamiento. En ella han participado Alemania, Estados Unidos, Países Bajos, Reino Unido, Francia, Lituania, Canadá y Ucrania, bien coordinados por Europol y Eurojust, la agencia de la Unión Europea para la Cooperación Judicial Penal. Las autoridades policiales y judiciales han conseguido tomar el control de su infraestructura y desmantelarlo, poniendo así fin a la red de bots de Emotet.
Una larga historia delictiva
Sin lugar a dudas Emotet ha sido uno de los peligros más complicados de desactivar y más duraderos. En 2014 saltó al primer plano de la ciberseguridad como un troyano bancario. Pero la cosa fue mucho más allá, ya que actuaba como la llave de una cerradura, capaz de abrir las puertas de sistemas informáticos de todo el mundo. Y una vez conseguido esto, la llave se vendía a ciberdelincuentes de alto nivel que desplegaban actividades como robo de datos y extorsión. Mediante un sistema totalmente automatizado, Emotet se difundía a través de documentos de Word adjuntos a un correo electrónico. Por ejemplo, en España, durante la pandemia, se presentaba como facturas, avisos de envío e información sobre la Covid 19.
Pero… ¡estabais advertidos!
Si sois fieles seguidores de este blog, seguramente todo esto os suene ya un poco, porque nos hemos ocupado en varias ocasiones de Emotet. Por ejemplo, en febrero de 2020, cuando os contamos que en la conferencia de la asociación Hackplayers H-Con estuvimos en una conferencia de Markel Picado titulada “Comunicándome con el enemigo: Emotet tracking”. Podéis leer el post AQUÍ.
Incluso tuvimos que glosar la virguería de programación que significaba Emotet. ¡Qué lástima que la gente que es capaz de realizar una programación tan complicada que incluso afectaba a varios cientos de miles de servidores de todo el mundo y con capacidad de propagarse en forma de red descentralizada, usen su sapiencia para el lado oscuro!
Pero donde realmente os contábamos muchas más cosas sobre Emotet, el enemigo público número uno, fue en el artículo publicado el 10 de agosto de 2020 con el título “Contramedidas para Emotet: sustituyen malware por Gif’s”. Incluso os enlazamos con un artículo del Incibe donde se explicaba como limpiar vuestro equipo de este virus.
Bueno, empezamos el año con una muy buena noticia para la ciberseguridad mundial. Y como veis, TECNOideas está a la altura, comme d’habitude. Nos encanta que nos sigáis y os recordamos que ahora tenéis la opción “Deja una respuesta” al final de cada uno de los artículos de este blog. ¡Animaros y dejad vuestras opiniones!
- Publicado en General, Noticias, Seguridad, Sobre TECNOideas
Ante la imaginación, preparación
Sabemos que los delincuentes, ya sean analógicos o en su versión digital o ciber, echan mano de su imaginación para darle la vuelta a todo lo que hacemos, poder vulnerarnos, y sacar provecho económico de ello, que es su último fin.
A las bien sabidas y conocidas campañas de información falsa de la Agencia Tributaria, la Seguridad Social, Correos, couriers diversos, etc. desde hace algún tiempo están enviando emails con archivos compartidos.
Estos archivos compartidos están en Drive, Onedrive, Dropbox, etc. y como no tienen malware. Los “malos” envían comunicaciones masivas para ver si alguien pica, y cuando haces click y descargas el archivo, voilà!
También hemos recibido algún email al correo corporativo, por anuncios que tenemos o hemos tenido en diferentes e-commerces, plataformas de venta, o sitios de anuncio, con la misma técnica, e incluso sms con links.
Hace ya un tiempo, y creo que sigue vigente, también había mensajes en las redes sociales, sobre todo Facebook, e incluso links a juegos, que no eran tal, cuando se puso tan de moda que se compartiera con los amigos y se jugaran a los mismos juegos.
Aunque parezca que venga de un medio fiable, nadie nos va a enviar un prepago de una gran cantidad (si es un anuncio de venta), o nuestro amigo de toda la vida ahora le ha dado por aprender inglés y enviarte un correo en ese idioma por primera vez, o somos los afortunados herederos de una gran fortuna o de alguien que quiere invertir en nuestra idea, aunque no la tengamos (la gente sigue picando), y así etc.
Sentido común, cierta desconfianza, que no miedo, y comprobar, tanto los ficheros adjuntos como los links a la mínima sospecha (en VirusTotal por ejemplo, como hemos explicado en otro artículo).
Si su empresa necesita formación, para afrontar esta problemática, o consultoría y/o una auditoría para intentar mejorar la seguridad de sus sistemas de información, TECNOideas presta todos estos servicios y alguno más. Contáctenos sin ningún compromiso.
- Publicado en Consultoría, Formación, General, Hazlo tu mismo
Contramedidas para Emotet: sustituyen malware por Gif’s.
En estos últimos días ha saltado otra vez a la palestra el troyano Emotet, toda una obra maestra de ingeniería de programación, pero dedicada a hacer el mal, y por dos cuestiones totalmente diferentes.
Ya nombramos a Emotet en una entrada de septiembre del año pasado, que era cuando estaba en auge. Este software se instala en los pcs, y como al principio no hace nada “malo”, pasa desapercibido con alguna de sus variantes, a los antivirus.
Es un contenedor, osea, que instala plugins a medida, según sector, país, etc…. digamos que el que creó el software, e infectó a ordenadores, vende campañas a medida a otros piratillas, que no se hacen su software.
Casi siempre se ha usado en España para robar datos bancarios, pero ha habido otras versiones, o como hemos dicho, otros plugins/campañas.
Pues una de estas noticias, que recoge Zdnet, y según el grupo hacker Cryptolaemus, ha logrado sustituir una buena parte de estas descargas de payloads, por Gifs animados. Según este grupo, quien creó Emotet, utilizó unas librerias opensource que se encuentra en Github, y que hace que las transferencias de los payloads no sean de forma segura.
Y la segunda, la semana pasada, es que “ha regresado” Emotet. Es una campaña dirigida a empresarios americanos, que se ha podido cuantificar en algo más de un cuarto de millón de emails, y que quieren entrar con la excusa de la factura.
El autor de esta campaña es el grupo TA52, y con este gancho, lo que intenta es instalar el propio Emotet o contenedores adicionales.
Y aunque para lo que más se ha usado este malware es para el robo de credenciales bancarias en ciertos países, puede estar inactivo esperando su addon, o robar credenciales de WordPress para tener sitios donde alojar material infectado, o hacer campañas a los contactos del infectado.
Y si creéis que habéis sido infectados, AQUÍ un artículo de INCIBE donde se os explica en detalle de como examinar vuestro equipo, o como limpiarlo si es necesario.
- Publicado en Consultoría, Hazlo tu mismo, Seguridad
¿Y por qué no puedo usar mi email corporativo para registrarme en sitos?
Es una pregunta que nos hacen muy, muy, muy, a menudo cuando hacemos una auditoría, una campaña de phising simulada, o una formación.
Un trabajador, que va a su lugar de trabajo, suele estar más delante del ordenador de su puesto, que en el de su casa – lógico – y quiere aprovechar todo ese tiempo, o el descanso de la comida, o el antiguo del cigarro, para cosas personales.
Sobre si es legal o no, que seguro nuestro colaborador Juan Carlos de Tecnogados, nos amplía el tema, nosotros os vamos a explicar porque no es nada recomendable usar el email corporativo para usos personales.
Las filtraciones de redes sociales, marketplaces, sitios de contactos, etc… que suelen ser ( y cada día más) muy numerosas, suelen saltar a la luz primero en en la Dark Web, y sobre todo intentando aprovechar estos datos, para entrar directamente en una empresa.
¿Que pueden hacer en una empresa con el acceso al correo electrónico? Pues primero información, administrativa, contratos, facturas, cualquier tema económico, que sabiendo que un día no vas a estar, pueden pedir una rectificación, y que la transferencia o el modo de pago destino, no sea el habitual.
Luego, si la empresa es mediana o grande, recuperar las credenciales de red, suelen ir implícitas al correo electrónico, por lo que ya obtendrían acceso a la red corporativa fácilmente.
Desde ahí, intentar llegar otro sistema, de más alto nivel, un servidor por ejemplo, con aumento de credenciales, pivoting, etc…. y llegar a datos sensibles, o credenciales más altas, para llegar a datos más sensibles.
Y datos e información (insistimos porque son los activos de la empresa), saber cuando alguien está fuera para ataques sociales (el del CEO por ejemplo) o vender esta información a la competencia, si se trata de proyectos de desarrollo.
Y nos podríamos pasar el día dando ejemplos, de porque es tan peligroso el email corporativo: por las filtraciones de estos, y porque cuando sepamos que hemos sido vulnerados, será tarde.
- Publicado en Consultoría, Formación, Malos hábitos, Protección de datos
El riesgo cibernético por sectores: salud Parte I
Que la Ciberseguridad es cosa de todos, es algo que debería esta ya bien claro en este 2020, ninguna empresa se salva de ser objetivo de “ataques”, infecciones, timos y demás variantes.
Pero hay sectores, que iremos enumerando en las próximas semanas, que por sus clientes, sus datos o sus proyectos, van a ser objetivo directo de los delincuentes informáticos.
Uno de ellos es el sector médico. Se puso como objetivo el digitalizar este área, desde consultas pequeñas (las pruebas se envían digitalmente y ya no las llevamos ya en papel), o de los hospitales medios y/o grandes, que en este mismo proceso, quieren ahorrar tiempo y materiales.
Ahora ya no solo hay bases de datos de clientes (pacientes) o proveedores, ahora también hay datos de la vida, dolencias, hábitos de salud, tratamientos, operaciones, ADN, identificación dental u ósea.
¿Y como se guardan estos datos? ¿Y como se tratan? ¿Se envían a terceros con nuestro consentimiento? Solo en el ámbito de la privacidad se plantean muchas dudas, que hay que saber cubrir, no sólo legalmente, que la RPGD está al acecho y ya no hay avisos, sino multas.
Hay que técnicamente poner todos los medios para que estos datos estén a buen recaudo, y bien tratados. Ya no sólo designar un “delegado” de estos datos. Bases de datos encriptadas, copias escaladas y en diferentes soportes y sitios, credenciales que caduquen y se revisen, y un largo etc…
¿Pero quién va a querer los datos de los enfermos? Desde hace ya tiempo, los datos son dinero, sino que se lo pregunten a las empresas que usan el Big Data de sus clientes para monetizarlo en un área que no existía antes.
Estos datos son muy golosos y sobre todo vendibles. Aunque no se puede hacer, la competencia o las mutuas estarían encantadas de comprarlos, o sino redes mafiosas. También se han visto suplantaciones de identidad, para el suministro de psicotrópicos, para el mercado negro.
Y llegando al plan o novelesco de ciencia ficción o Ciberpunk, que ya no estamos muy lejos, delincuentes que puedan modificar aparatos implantados, como marcapasos o bombas de insulina, que ya se ha demostrado que son poco seguros.
Si se tiene acceso a sistemas, también se podría cambiar el historial, una medicación, una intervención, y si no hay una supervisión muy concreta del paciente podría ser un ataque directo contra su vida.
¿Y asesinatos con estos medios? No es muy descabellado si ya se han usado envenenamientos a través de terceros con agentes químicos y biológicos.
Suena muy peliculero, pero es la realidad de 2020, ya que en 2019 hubo varios incidentes:
- Ataque a Hospitales Rumanos para robar datos.
- ¿Porqué el sector médico? Artículo de Cybersecurity News
- Ataque a Prosegur con Ransomware también afectó a hospitales.
- Como varios ataques en Hospitales de EEUU causaron muertos.
- Implantes hackeables
- Marcapasos hackeables.
- Listado de casos que están siendo investigados en EEUU por Ciberataques en sector médico.
- Y cuando se empezó a ver esta epidemia, el ataque al servicio de salud Britanico.
Hemos empezado a trabajar con algún centro médico, ya que podemos abarcar todas sus necesidades:
– La auditoría informática
– La auditoría industrial (en este caso todos los robots y “aparatos” conectados que tiene un centro de salud).
– La formación específica en Ciberseguridad
– La protección total 24/7 Blackberry Cylance.
– Seguro de ciber riesgo o ciber extorsión.
- Publicado en Consultoría, Noticias, Protección de datos, Seguridad
El riesgo cibernético por sectores: salud Parte II (farmacéuticas)
Siguiendo con el tema salud, su transformación digital a marchas forzadas, y que no siempre va de la mano de la Ciberseguridad, hoy hablaremos de otra rama, el sector Farmacéutico.
Aunque tecnificadas desde hace años, no siempre han prestado igual importancia a la Ciberseguridad, aunque muchas han sufrido en sus carnes ataques específicos o espionaje industrial.
Como la mayoría de empresas de todos los sectores, no han divulgado de modo propio las fugas de información sufridas a lo largo de los años, y no podemos cuantificar totales, pero si recabar algo de información.
Las farmacéuticas gastan mucho dinero al año desarrollando productos, así que el espionaje industrial que antes se trataba de infiltrar una persona, ahora puede ser más fácil a través de una infección y control de un sistema.
Robar estos datos y venderlos a otras que no les cueste dinero desarrollar un fármaco “caro”, y así venderlo a un 10% del precio de la competencia, es otro de los planteamientos.
Y no solo lo decimos nosotros:
y Farmaretail para sus asociados.
TECNOideas 2.0 Ciberseguridad, cuenta con profesionales para realizar auditorías de seguridad, tanto en sistemas informáticos, como en sistemas industriales IoT, sensores, robots, cadenas de producción, logisticas…
No dude en ponerse en contacto con nosotros para que le facilitemos un presupuesto sin compromiso, y así comprobar que estamos a su alcance, o que le propongamos una formación para su organización.
- Publicado en Consultoría, General, Noticias, Protección de datos, Seguridad
Como comprobar si un link o url es “malicios@”
Muchas veces nos recuerdan que no abramos links que nos llegan al correo si no los esperamos y además son de un desconocido. Que comprobemos la url, para ver si es “buena o es mala”.
¿Pero como se hace esto? Ya no hay que ser ingeniero para poder analizar una url, porque hay muchos sitios online donde poder hacerlo.
Uno de los más conocidos es VirusTotal. Aparte de analizar el contenido, puede enviar archivos dudosos para analizarlos con posterioridad.
Google también tiene su apartado para código malicioso, y si alguien ha denunciado una web, AQUÍ. Aunque en varias pruebas, lo que ha detectado VirusTotal, Google lo ha dejado pasar, siempre está bien tener más alternativas.
Y hay muchas más, como URLVoid, Site inspector Comodo, Dr.Web (aunque se usaba mucho antaño, ahora parece pertenecer a alguien en Rusia, así que usar con moderación).
Nunca hagas una prueba en un solo sitio, haz contra pruebas, para estar seguro.
Y recuerda que esto lo enseñamos en nuestras formaciones In-company para empresas, junto con detección de campañas de Phising, Vishing o Smishing.
- Publicado en Hazlo tu mismo
Revelación responsable, en inglés ‘Responsible disclosure’
Alguna vez nos ha preguntado algún amigo, cliente, o colaborador que hacemos si en nuestras pruebas de Pentesting diarias, descubrimos algún fallo de un tercero, que nos para quien trabajamos en ese momento.
Como no, hay una expresión para este tema, que es la que da el título a este post Revelación responsable, o en inglés ‘Responsible disclosure’.
Ya dice mucho de por si. Nosotros si descubrimos algún fallo, nos ponemos en contacto con quien lo sufre, y le damos toda la información posible.
¿Suele funcionar? Sencillamente no. A veces insistimos, alguna vez tenemos respuesta y nos derivan a otra persona, y luego a otra, como si el problema fuera nuestro.
Si es una empresa privada, son ellos los que tienen el problema, y no insistimos más. Si es una empresa pública, ya que somos todos y la dejadez la pagamos todos, pues lo denunciamos públicamente esperando que haya una causa-efecto.
Aún así, no suele haber mucho feedback, y es que aún pasan pocas desgracias, como por poner solo dos ejemplos, en Baltimore o New Orleans.
Podéis leer un artículo en Wikipedia AQUÍ sobre este tema, y como no, la controversia que genera.
- Publicado en Consultoría, Malos hábitos, Noticias
Para instalar un antivirus gratuito, activa Windows Defender.
Después de muchos años siendo partner de una marca puntera de antivirus, y de que en los dos últimos años este haya hecho bajar el rendimiento de las máquinas donde estaba instalado, siendo lo peor los errores en los servidores (paquetes nada baratos, por cierto), y que costaba mucho de arreglar, decidimos buscar alternativas.
Esta misma marca también tiene una alternativa “gratuita”, pero ya se sabe, en informática, todo lo gratis, se paga con sangre, así que como adivináis no fueron muy bien las pruebas.
Luego probamos otras soluciones tanto de pago, como no, pero para pagar ha de ser bueno de verdad, y para ser gratis, bueno, eso, gratis. Así que decidimos activar Windows defender, en Windows 7 y posteriores, junto con una solución anti-malware (Spybot Seach&destroy es la que más no ha gustado siempre).
Y no ha ido nada mal, la verdad, un alto rendimiento, no roba recursos a la máquina, y las pruebas con archivos infectados que cononcíamos la verdad que excelente (nos falta hacer una prueba en una máquina virtual, y una web que tiene todos los virus habidos y por haber). Así que no le tengáis manía, y pensar en Windwos defender si queréis instalar una solución antivirus gratuita.
- Publicado en Seguridad
Cuando el antivirus no funciona, o es tarde.
Siempre alertamos e incidimos en que hay que usar un buen antivirus, y combinarlo con un buen antispyware o antimalware (no con otro antivirus a la vez!), pero hay veces que ni así es suficiente.
Cuando se ha producido la temible infección, y nos damos cuenta de ello, claro, hay que averiguar rapidamente que virus es, y ponerle coto. Las mismas páginas de los antivirus suelen ofrecer métodos manuales o automáticos de reparación de un virus o familia de estos, en concreto, sin tener que pagar el paquete al completo.
Después de desinfectar, parchear el sistema, navegador o programa por donde se haya colado, para que no vuelva a pasar, y usar un antivirus! aunque sea gratuito.
- Publicado en Errores, Hazlo tu mismo
Español 
Català