El mes de agosto es sinónimo de vacaciones para muchos, pero no para los que trabajan en seguridad informática. Es durante agosto cuando se celebra en Las Vegas Blackhat y Defcon, las dos conferencias más importantes del sector y que reúnen a miles de asistentes para estar al tanto de las investigaciones más recientes. Eset estuvo allí un año más, asistiendo a un buen número de conferencias con temas interesantes, sin olvidar que agosto también nos ha dejado un buen número de noticias relacionadas con la seguridad.
Informando desde Las Vegas
La gran cantidad de investigaciones que se hacen públicas durante la celebración de Blackhat y Defcon hace que agosto esté repleto de noticias relacionadas con la seguridad. Como comenta la compañía en un comunicado, una de las presentaciones más destacadas fue la del investigador español David Meléndez, quien explicó todo el proceso de fabricación de un dron casero de bajo coste y cómo había conseguido introducirle medidas para dificultar su detección e intercepción por las medidas antidrones clásicas, además de añadirle funcionalidades adicionales de ‘pentesting’ de redes WiFi y SDR.
“Pudimos ver también sobre el escenario al español Sergio de los Santos y a la argentina Sheila Berta presentando su investigación Rock Appround the Clock, pensada para tratar de determinar con cierto grado de exactitud la ubicación geográfica de los creadores de aplicaciones maliciosas en Android. Esto es algo que resulta vital a la hora de poder hacer atribuciones y tratar de averiguar quién está detrás de ciertos tipos de ataques, especialmente los dirigidos”, explican.
Asimismo, asistieron al resultado de varias investigaciones donde se analizaban, por ejemplo, las relaciones existentes entre el cibercrimen y el crimen organizado más tradicional. También escucharon la opinión de representantes de agencias tan importantes como la NSA, con afirmaciones tan tajantes como que la mayor parte de los ataques producidos en 2017 podrían haberse evitado siguiendo unas recomendaciones de seguridad básicas.
La banca, cada vez más amenazada
Desde Eset, se lleva meses informando de ataques relacionados con el sector financiero y agosto no ha sido la excepción, incluso con la banca española siendo protagonista en más de una ocasión. Un ejemplo lo tenemos en el malware Cobalt, y es que, a pesar de que fue detenido el pasado mes de marzo en España el que se cree que fue uno de sus principales responsables, dicho malware sigue en activo apuntando a bancos en Rusia y Rumanía mediante ataques dirigidos de phishing o enlaces maliciosos dentro de un email.
Una de las amenazas descubierta durante 2018 que tiene a los bancos en su punto de mira es BackSwap. Hasta hace poco tan solo había afectado a bancos polacos, pero investigaciones recientes han demostrado que este troyano bancario ha empezado a incluir a los usuarios de seis bancos españoles entre sus objetivos. Este malware suele llegar a sus víctimas mediante un correo malicioso con adjunto ofimático y es capaz de utilizar scripts maliciosos para modificar lo que ven las víctimas en la web de su banco e interceptar los datos confidenciales de los clientes.
Siguiendo con el sector financiero español, el Banco de España, y más concretamente su web oficial, fue una de las víctimas de #OpCatalonia lanzada por Anonymous y que, mediante ataques de denegación de servicio, afectó a varias webs de numerosos ministerios y también a organismos pertenecientes al poder judicial. Todo apunta a que durante las próximas semanas veremos más incidentes similares conforme nos acerquemos al aniversario del 1-O.
Internet de las cosas
Un mes más, los ataques al Internet de las cosas han tenido su protagonismo en varios frentes. En su vertiente más clásica, más de 200.000 routers del fabricante Mikrotik se vieron afectados por una campaña masiva de criptojacking que modificó su configuración para inyectar una copia de Coinhive, el conocido script de minería para navegadores, en algunas partes del tráfico web de los usuarios. Como detalle importante, este ataque solo afectaba a aquellos routers que no hubieran parcheado la vulnerabilidad que apareció el pasado mes de abril.
Además, la botnet Mirai siguió haciendo de las suyas con nuevas variantes que afectan cada vez más a un número mayor de dispositivos. Durante las últimas semanas se han estado monitorizando variantes de este malware, y viendo cómo crecía el número de dispositivos de todo tipo que caían en sus garras, desde routers y cámaras IP a dispositivos Android. Este mayor número de dispositivos afectados se debe a que las nuevas variantes han sido creadas usando un proyecto de código abierto de nombre Aboriginal Linux, lo que facilita la compilación del malware multiplataforma.
La seguridad de los dispositivos médicos ha vuelto a la primera plana tras una presentación realizada en Blackhat que analizaba las posibles formas de aprovechar vulnerabilidades en bombas de insulina. No es la primera vez que este tipo de dispositivos se encuentran en el ojo del huracán, ya que un ataque a dichos dispositivos podría ocasionar graves consecuencias. Entre las acciones maliciosas que se analizaron se encontraría la modificación de la dosis suministrada a la víctima o, incluso, en el caso de un marcapasos, provocar un shock eléctrico.
La privacidad no es un juego
Un mes más los robos de datos personales han tenido su protagonismo en el resumen de amenazas. Y es que empezábamos el mes muy fuerte conociendo la noticia de una brecha de seguridad en Reddit que provocó el robo de datos de varios usuarios de esta plataforma. Por suerte, se trataba de una base de datos muy antigua (2007), aunque los atacantes consiguieron evadir el doble factor de autenticación asociado al SMS, lo que volvió a abrir el debate de si esta medida de seguridad mediante mensajes de texto sigue siendo efectiva o si se debe migrar a otras soluciones más efectivas como las contraseñas de un solo uso, tokens hardware o autenticación biométrica.
Otra plataforma muy utilizada y que también se vio envuelta en cierta polémica acerca de su seguridad fue Instagram. Desde principios de mes, varios usuarios informaron haber sido víctimas de una campaña maliciosa en la que los atacantes consiguieron tomar el control de sus cuentas. Desde Instagram afirmaron estar revisando el incidente y a finales de mes incorporaron nuevas funcionalidades, entre las que se encuentra la posibilidad de utilizar aplicaciones de terceros para la autenticación en dos pasos.
Fortnite, el juego de moda, también quiso incentivar a sus usuarios a que protegieran sus cuentas y por eso lanzó una campaña especial en la que regalaban un gesto para los que juegan al modo Battle Royale al activar el doble factor de autenticación. Sin embargo, también tuvo que solucionar una vulnerabilidad en su versión para Android que permitía a aplicaciones maliciosas con pocos permisos ya instaladas en dispositivos Android secuestrar otras aplicaciones legítimas durante su proceso de instalación.
El adware supera al cryptojacking
Tras varios meses en los que parecía que el minado no autorizado de criptodivisas era imparable, durante el mes pasado vimos cómo las campañas de anuncios maliciosos con la finalidad de instalar extensiones maliciosas en el navegador Chrome experimentaron un importante crecimiento. Esto no significa que los delincuentes hayan abandonado el criptojacking, pero sí que estamos viendo una migración desde la inyección de código de minado en webs a la infección de dispositivos de todo tipo (principalmente del IoT) para utilizarlos sus recursos en la minería de criptomonedas.
Un ejemplo de que el cryptojacking aún tiene mucho que decir lo tenemos en ZombieBoy, un gusano que utiliza vulnerabilidades conocidas como EternalBlue o DoublePulsar para propagarse rápidamente por redes corporativas y utilizar los sistemas infectados para la minería. Este malware está en constante evolución e incorpora una funcionalidad de puerta trasera que permitiría ejecutar otro tipo de malware como ransomware.
Precisamente durante agosto vimos nuevos casos de ransomware protagonizar más de un incidente de seguridad. Variantes como GranCrab consiguieron un impacto bastante importante en algunas regiones como Latinoamérica. Los vectores de infección siguen siendo muy tradicionales, y en esta ocasión se utilizaron principalmente archivos asociados a cracks de aplicaciones legítimas para poder utilizarlos sin pagar la licencia de uso.
Además, también se han observado numerosas campañas de spam durante las últimas semanas. Con asuntos atractivos como los que nos aseguraban ganar dinero rápidamente o la recepción de una factura impagada, los delincuentes han propagado amenazas como la herramienta de control remota DarkComet para tomar el control de nuestro sistema y robar información, o realizar estafas presentadas como formas aparentemente seguras de invertir en criptomonedas.
Para terminar el mes de forma agitada, supimos de la existencia de una vulnerabilidad 0-day en sistemas Windows que permitiría a un usuario local sin permisos suficientes en un sistema vulnerable realizar una escalada de privilegios mediante un fallo en el planificador de tareas de Windows hasta obtener permisos de SYSTEM. Esto abre la puerta a nuevos ataques que no disponen de solución sencilla hasta que Microsoft publique los correspondientes parches de seguridad, previsiblemente el segundo martes de septiembre.
Fuente: https://www.interempresas.net
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |