Select Page
Emotet ataca de nuevo

Emotet ataca de nuevo

El conocido troyano Emotet atacó de nuevo. Esta vez aprovechando el Día de Accion de Gracias en Estados Unidos y el Black Friday.

Emotet es un troyano distribuidor de otros troyanos que parece estar identificado con el grupo Mealybug y viene actuando desde hace cuatro años cuando su objetivo era solamente obtener credenciales de usuarios bancarios en Alemania. Sin embargo, este tipo de amenazas, sobre todo si son técnicamente eficientes, se reciclan y se reinventan.

La forma de propagación del virus es la vieja y efectiva vía del email de phishing. Haciendo creer al usuario que el email proviene de su propio banco y convenciéndolo que abra un adjunto que puede ser tanto un archivo como una URL. Una vez que el usuario hace clic y se infecta, Emotet trata de infectar otras máquinas de la red utilizando la vieja vulnerabilidad de EternalBlue, la misma que hizo posible la infección de WannCry y que sigue estando presente en muchísimos equipos en el mundo. Después de esto, intenta obtener por fuerza bruta credenciales del dominio, lo que causa un efecto secundario importante bloqueando cuentas por varios intentos fallidos.

Después de varios ataques en los últimos años, Emotet volvió a la carga para el Día de Accion de Gracias en Estados Unidos (es decir el 22 de Noviembre) mediante emails que pretendían ser de instituciones financieras o disfrazados de saludos de Acción de Gracias para los empleados de las empresas. La nueva funcionalidad del troyano permite crear mejores plantillas de phishing, lo que lo hace mucho más efectivo.

Esta funcionalidad permitió que los desarrolladores del troyano, puedan además construir templates para el último Black Friday (es decir el viernes pasado, 23 de Noviembre). Sin embargo, en este caso, los archivos adjuntos y los enlaces fueron sustituidos por archivos XML con extensión .doc en lugar de los archivos DOC y PDF que se usaban anteriormente.

Dado que Emotet no es el malware principal, sino sólo un vehículo, en esta campaña ha enviado malware bancario como Ursnif, TrickBot y IcedId y su malware compañero Azorult, especialist en robar contraseñas, números de tarjetas de crédito y direcciones criptomonedas.

Después de que Emotet atacara usuarios de bancos de Alemania, Estados Unidos e Inglaterra, en esta campaña se enfocó en países de Latinoamerica, particularmente Argentina, México y Ecuador. Otra vez estamos primeros en una lista de países en las que no quisiéramos estar. Y otra vez se destacan como medidas importantes las campañas de concientización que disminuyan la posibilidad que los usuarios hagan clic donde no deben… y la protección efectiva de endpoints si lo hacen…

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Otra vez SWIFT

Otra vez SWIFT

Ya pasaron dos meses del segundo ciber ataque masivo exitoso en Latinoamérica, pero el problema está muy lejos de solucionarse. Esta vez el blanco fue el Banco de Chile y el resultado fue el robo de U$S 10 millones que se efectuó, otra vez, a través de vulnerabilidades en los sistemas de la plataforma SWIFT.

Esta ola comezó en febrero de 2016. Un banco de Bangladesh fue víctima de un sofisticado ataque en el que robaron unos U$S 81 millones. En ese momento, la novedad del ataque fue que la operación se hizo vulnerando al sistema SWIFT (Society for Worldwide Interbank Financial Telecommunication) encargado de efectuar transacciones monetarias entre entidades financieras de todo el mundo.

El ataque fue atribuido por diversos investigadores tiempo después, al famoso Grupo Lazarus; organización ciber criminal con un importante récord de robos y ciber ataques por más de diez años.

La organización SWIFT reaccionó de forma más o menos rápida, modificando y profundizando su CSP (SWIFT Customer Security Program) en el que indicaban que para seguir operando con ellos, todas las entidades adheridas debían cumplir con el nuevo Customer Security Controls Framework (Marco de Controles de Seguridad para los Clientes). De hecho, y según las recomendaciones de SWIFT, se iban a efectuar auditorías a los bancos adheridos y se les iba a cancelar la suscripción de no cumplir con dicho marco de ciber seguridad.

Sin embargo, a partir del primer evento en Bangladesh, los ataques a bancos a través de los sistemas de SWIFT se multilplicaron a lo largo del mundo con modus operandis similares y también atribuidos por los investigadores al Grupo Lazarus. Estos son algunos de los incidentes:

Una de las particularidades del último robo, fue que el grupo de atacantes introdujo un virus, el Swapq, dentro de las redes del banco, con el objetivo de desviar la atención a la verdadera acción, la de infiltrarse en el sistema SWIFT y robar dinero.

Es cierto que el nivel de sofisticación de estos ataques es muy elevado y que las acciones parecen estar muy bien planificadas y coordinadas. Sin embargo, también es cierto que los niveles de ciber seguridad de los bancos, así como de muchas otras empresas en el mundo, deja todavía bastantes puertas abiertas que son aprovechadas por los atacantes.

Existen iniciativas que obligan a las entidades a incrementar sus medias de ciber seguridad, como SWIFT CSCF o la flamante GDPR. Pero estas iniciativas llegan a una velocidad que sumada (o restada?) a la velocidad en que las entidades ponen en marcha sus proyectos y, efectivamente, logran implementarlos… es mucho menor a la velocidad en que los grupos de ciber criminales desarrollan sus herramientas y tácticas de ataque.

Esta es una carrera en la que, quienes estamos de este lado de la linea, estamos perdiendo.

 

Nota por Carlos Benitez

 

Carlos Benitez, es un reconocido experto en temas de seguridad de la información.

¿Una cuestión de fe?

¿Una cuestión de fe?

¿En qué nos basamos para elegir un banco cuando decidimos colocar gran parte de nuestros ahorros en una de estas instituciones? Y cuándo vamos a contratar un seguro, ¿qué parámetros consideramos para elegir a esta compañía y no a la otra?
En un caso depositamos nuestros bienes, en el otro nuestra seguridad a futuro. La realidad es que los parámetros pueden ser muchos y variados, pero el más importante de todos y el que prima a la hora de tomar una decisión es uno: la confianza.
Confiamos en nuestro banco y esperamos que sea sólido y quedarnos tranquilos que nuestros ahorros estén bien resguardados. Sin embargo, de pronto nos encontramos frente al banco cerrado, y gente golpeando con jarros o cucharas las cortinas metálicas con la esperanza de alguna respuesta. Confiamos en nuestra compañía de seguros porque sabemos que va a responder ante cualquier siniestro. Pero de pronto nos enteramos que nuestra compañía quebró y que el seguro que teníamos ya no se puede cobrar.
Estas mismas experiencias son las que vivimos en el ciber-mundo. ¿En quién confiamos para brindarle todos nuestros datos y más? En compañías sólidas, fuertes, con millones y millones de usuarios que también confiaron en ellas y que no sólo utilizan sus aplicaciones primarias sino las aplicaciones cruzadas (como las de login) que nos permite autenticarnos en cientos de otras aplicaciones con un solo clic sin la necesidad de recordar cientos de usuarios y contraseñas.
Claro, para lograr esto, cada aplicación cruzada, nos pide acceso a todos nuestros datos. Pero nosotros confiamos, tenemos fe en que nuestros datos estarán bien protegidos y ese instante frente a los dos botones “Yes” y “No”, damos “Yes” casi sin dudar y, obviamente, sin nunca leer las condiciones y consecuencias de ese clic. Porque tenemos fe.
Pero las aplicaciones, los sistemas y las organizaciones no se mueven en función de la fe, sino de los negocios. Y de pronto, nos encontramos con 50 millones de usuarios que no tienen ni cucharas, ni una cortina metálica donde golpear, pero cuya fe fue abusada de la misma manera que aquellos ahorristas. Fue la combinación de una importantísima empresa de Big Data de Inglaterra combinada con la mayor red social del mundo quienes abusaron de la buena fe que sus usuarios habían depositado en ellas. Usando y abusando de la información que fueron cosechando durante años. Y lo peor de todos, lo admiten. La red social dice que los datos no les fueron robados, ni hackeados, que todo fue parte de un negocio. En medio de esta crisis, el director de Seguridad Informática de la red renuncia. Siempre durante las crisis, las internas salen a la luz.
Como dato curioso, hasta ahora no conozco a nadie ni leí en ningún lado, que a pesar de esta prueba de mala fe, hayamos dejado de utilizar la mayor red de mensajería de celular del mundo, que como todos sabemos, pertenece a la red social de la que estamos hablando, y que, probablemente siga recolectando nuestros datos.
¿Estamos eligiendo bien? ¿Entregarle nuestra información y nuestros secretos a una empresa sólo porque es grande, porque cotiza en la bolsa de Nueva York y porque está en el extremo superior derecho de los cuadrantes de Gartner garantiza que se puede confiar en ella?
Nota por Carlos Benitez